V2EX › liKeYunKeji 的所有回复 › 第 3 页 / 共 37 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 2 3 4 5 6 7 8 9 10 ... 37

❮

❯

55 天前

回复了 CNN 创建的主题 › 程序员 › 程序员是不是 iOS 和 Android 双持？

现在手机那么便宜，我都 3 台 iPhone(XR\13\16) + 3 台 Android （红米+vivo+Huawei)

57 天前

回复了 shinonome 创建的主题 › Go 编程语言 › json 当数据库有什么问题吗

再少的数据我都是直接 mysql ，习惯了

57 天前

回复了 Gekou 创建的主题 › 分享发现 › 国产手机会偷偷删除本地歌曲

因为你下载的音乐不属于正常的 mp3 格式或者更好音质的标准格式，而是音乐应用自家的加密格式，会被当做垃圾清理。

57 天前

回复了 enihcam 创建的主题 › Android › 很多人说安卓不好用，然后拿出的例子根本不是原生安卓。

普通人用原生安卓，估计都用不惯了吧

66 天前

回复了 zzlettle 创建的主题 › Android › 推荐个安卓机，用来备用的

Redmi Note 15 Pro

72 天前

回复了 sk217 创建的主题 › macOS › 高强度使用黑苹果 5 年，针对黑苹果，我讲句公道话

玩过黑苹果，玩腻了，直接买了 M2 的 air

73 天前

回复了 gotoschool 创建的主题 › 程序员 › 自己想搭建个支付宝和微信个人收款用哪个合适啊

只有 2 种，一个是官方接口，无论是自己开还是服务商。另一个是非官方接口，那么就是通过歪门邪道做的一些监听软件做的支付。

73 天前

回复了 huangyouzhuguxi 创建的主题 › 程序员 › 网页版的 im

https://hellogithub.com/repository/HuLaSpark/HuLa

85 天前

回复了 bugly 创建的主题 › 程序员 › 一次 XML 上传导致域名被封的经历复盘（腾讯网址安全中心是不是只剩下机器人了）

@mengdodo 防不住，除非你上传的时候做二进制核验，读取文件的真实数据，进一步拦截伪造的图片文件。攻击者会将 test.html 修改后缀名为 test.png ，然后 test.png 内是 html 代码，其中 html 代码前面包含了图片头信息，二进制信息，可以绕过上传检测。，上传后得到 https://xxxxxx.oss-cn-hangzhou.aliyuncs.com/file/test.png ，执行后虽然是一个加载不出来的图片，但是，拼接 response-content-type 就可以指定这个文件的执行类型，例如：

https://xxxxxx.oss-cn-hangzhou.aliyuncs.com/file/test.png?response-content-type=text/html ，意味着 test.png 会以 text/html 类型执行，那么 test.png 等同于 test.html 了，里面的 js 就会被执行，除非你有严格的对象存储配置，禁止这样的参数去定义执行类型。

86 天前

回复了 bugly 创建的主题 › 程序员 › 一次 XML 上传导致域名被封的经历复盘（腾讯网址安全中心是不是只剩下机器人了）

现在黑产因为需要依赖微信内的正常访问的域名，自己注册域名的风险很高，因此是每天都要去挖漏洞，来避免一些问题，1 是避免被查； 2 是降低域名的开销； 3 是减慢被封的速度；尤其是大厂大公司知名企业的域名，很多黑产都是比较喜欢的，因此腾讯、百度、网易、小米、美团、新浪、阿里等企业的域名很多都存在 XSS 以及文件上传漏洞。
-
常见于以下地方：
1 、微信小程序头像上传、反馈、发布；
2 、APP 的头像上传、文件上传、实名认证、营业执照上传等地；
3 、网页的文件上传例如富文本编辑器、头像上传、附件上传；
-
漏洞常见问题：
1 、对象存储可通过重放，html 文件改后缀为 png 即可上传，一般没有做文件类型校验的对象存储；
2 、重放时 Content-Type:image/png ，改为 text/html 也可以轻松绕过，仍然是文件类型校验不严谨所致；
3 、验证 Content-Type 和后缀名，但是并未验证真实的二进制数据，在 html 代码中混入图片的头信息当然可以传上去；
4 、后缀名只限制 html ，但是未限制 htm\xhtml\xhtm\shtml\mhtm 等类型，这些仍然存在上传的风险；
5 、未限制 svg 和 xml 的上传，这些是存在执行 js 代码的风险的；
6 、对象存储容易通过 URL 传递?response-content-type=临时改变文件执行类型，上传的是 png ，链接虽然得到，但是无法执行 html ，对象存储可以拼接 ?response-content-type=text/html 即可将 png 作为 html 执行，即可出发 js 代码
-
以上是本人分析过很多很多黑产的一些常见案例。

87 天前

回复了 bugly 创建的主题 › 程序员 › 一次 XML 上传导致域名被封的经历复盘（腾讯网址安全中心是不是只剩下机器人了）

svg 是可以执行 js 的，大家需要注意，下方是示例代码：
```
<svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 360 640" preserveAspectRatio="xMidYMid meet" xmlns:xlink="http://www.w3.org/1999/xlink">
<style>
text {
font-size: 24px;
text-anchor: middle;
dominant-baseline: middle;
fill: #333;
}
a {
text-decoration: none;
}
</style>
<a xlink:href="https://www.baidu.com">
<text x="50%" y="10%" id="hello">loading...</text>
</a>
<script type="application/ecmascript">
<![CDATA[
setTimeout(function() {
var textElement = document.getElementById('hello');
textElement.textContent = "点击跳转";
}, 1500);
]]>
</script>
</svg>
```
保存为 test.svg 双击即可运行 js 代码，改成 test.xml 也是一样的道理。

101 天前

回复了 LivenStar 创建的主题 › NAS › 用笔记本做个 NAS，用什么系统好用点

@yusercxt 2.5 寸的硬盘使用 USB 就可以供电

102 天前

回复了 liKeYunKeji 创建的主题 › NAS › 21 元 diy 了一个钢结构的 NAS 机箱，旧笔记本电脑发挥余热！

2025-08-29 ，这台 NAS 仍然在运行，使用良好！！！

102 天前

回复了 IchinoseChiya 创建的主题 › NAS › 为什么很多 NAS 和软路由相关帖子都会提到“玩 docker”

一天天的玩啥呢，玩个破 nas 都这么多叽叽喳喳的你们这些人，不就是一个 nas ，回归 nas 的本质就好。

102 天前

回复了 LivenStar 创建的主题 › NAS › 用笔记本做个 NAS，用什么系统好用点

我的笔记本，稳定运行 1 年，飞牛 OS ，4 盘位。
https://p1.ssl.qhimg.com/t11b673bcd62b0d7ff114063d9a.jpg