payload

一、概览 1、Vuex是什么 专为Vue.js应用程序开发的状态管理模式（状态即数据，即数据管理） 采用集中式存储管理应用的所有组件的状态 以相应的规则保证状态以一种可预测的方式发生变化 2、状态 组件内部状态：仅在一个组件内使用的状态( 即data字段里的数据，不能共享，只在本组件使用 ) 应用级别状态：多个组件共用的状态（将这个状态放入vuex中进行管理） 3、什么情况下使用Vuex 多个视图（组件）依赖同一状态 来自不同视图（组件）的行为需要变更同一状态 二、Vuex核心概念 1、store：类似容器，包含应用的大部分状态 一个页面只能有一个容器 状态存储是响应式的 不能直接改变store中的状态，唯一途径显示地提交mutations 在actions里面，也不能直接更改state里面的状态值，必须先定义一个mutations，然后在actions里面commit这个mutations，从而来更改state的状态值；如果要再次请求异步，那么就是dispatch一个actions 2、State：包含所有应用级别状态的对象 3、Getters：在组件内部获取store中状态的函数，类似组件的计算属性computed 4、Mutations：唯一修改状态的事件回调函数，默认是同步的，如果要异步就使用Actions 5、Actions：包含异步操作、提交mutations改变状态

Sqlmap安装 进入 sqlmap官网 ，下载，运行sqlmap.py文件即可 python sqlmap.py 通过pip安装 pip install sqlmap 直接在命令行运行sqlmap即可 Sqlmap直连数据库 sqlmap -d mysql://root:root@localhost:3306/test -f --banner ​ 如果报错需要下载pymysql模块 pip install pymsql ​ -d：直连数据库，后面跟着连接信息 -> mysql://用户名:密码@主机名:端口/数据库 ​ -f：打印DBMS信息 ​ --banner：打印banner信息，准确的版本号 ​ 成功访问，获取mysql信息 [23:47:45] [INFO] connection to MySQL server 'localhost:3306' established [23:47:45] [INFO] testing MySQL [23:47:45] [INFO] resumed: [['1']]... [23:47:45] [INFO] confirming MySQL [23:47:45] [INFO] resumed: [['1']]... [23:47:45] [INFO] the back-end DBMS is MySQL [23:47:45] [INFO

[XMAN]level 0 [XMAN]level 1 —— 简单shellcode利用 [XMAN]level 2 [XMAN]level 3 —— ret2libc尝试 [XMAN]level2&level3 x64 [XMAN]level 4 —— DynELF [XMAN]level 5 smashes ——SSP leak & ELF重映射 Test Your Memory ----?level1? /*************************************************************************************************************/ level4 ——DynELF DynELF是在没有libc文件情况下，通过对任意地址的读，获得函数地址的工具 通常情况下，可以通过leak两个函数got中所存的地址，从而确定libc版本，获得所需函数地址 libc版本查询 但在查库无法确定版本的情况下，可以使用DynELF在内存中搜索。但DynELF容易超时，慎用 以level4为例,简单记录DynELF的用法 获取文件 程序保护和程序漏洞都没有设置障碍，可以直接通过一次read实现溢出 经过尝试，无法通过write.got和read.got中的地址找到libc版本，也不方便实现system_call

作者： 阮一峰 日期： 2018年7月23日 JSON Web Token（缩写 JWT）是目前最流行的跨域认证解决方案，本文介绍它的原理和用法。 一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后，在当前对话（session）里面保存相关数据，比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id，写入用户的 Cookie。 4、用户随后的每一次请求，都会通过 Cookie，将 session_id 传回服务器。 5、服务器收到 session_id，找到前期保存的数据，由此得知用户的身份。 这种模式的问题在于，扩展性（scaling）不好。单机当然没有问题，如果是服务器集群，或者是跨域的服务导向架构，就要求 session 数据共享，每台服务器都能够读取 session。 举例来说，A 网站和 B 网站是同一家公司的关联服务。现在要求，用户只要在其中一个网站登录，再访问另一个网站就会自动登录，请问怎么实现？ 一种解决方案是 session 数据持久化，写入数据库或别的持久层。各种服务收到请求后，都向持久层请求数据。这种方案的优点是架构清晰，缺点是工程量比较大。另外，持久层万一挂了，就会单点失败。 另一种方案是服务器索性不保存 session 数据了，所有数据都保存在客户端

前言 ： 现在越来越多的项目或多或少会用到JWT，为什么会出现使用JWT这样的场景的呢？ 假设现在有一个APP，后台是分布式系统。APP的首页模块部署在上海机房的服务器上，子页面模块部署在深圳机房的服务器上。此时你从首页登录了该APP，然后跳转到子页面模块。session在两个机房之间不能同步，用户是否需要重新登录？ 传统的方式（cookie+session）需要重新登录，用户体验不好。session共享（在多台物理机之间传输和复制session）方式对网络IO的压力大，延迟太长，用户体验也不好。 说到这大家可能会想到，用服务器的session_id存储到cookies中也能做到，为什么非要用token呢？网上有许多文章来比较token和session的优缺点，其实，开发web应用的话用哪种都行。但如果是开发api接口，前后端分离，最好使用token，为什么这么说呢，因为session+cookies是基于web的。但是针对 api接口，可能会考虑到移动端，app是没有cookies和session的。 Session方式存储用户信息的最大问题在于要占用大量服务器内存，增加服务器的开销。 而JWT方式将用户状态分散到了客户端中，可以明显减轻服务端的内存压力。Session的状态是存储在服务器端，客户端只有session id；而Token的状态是存储在客户端 原理 ： JSON

首先确认一下　 Requests 已经安装 Requests 是最新的版本 如果没有安装requests，请按照下面的方式安装 安装requests window和Linux环境下都可以输入 $ pip install requests 发送请求 使用requests可以发送get、post、put、delete、head以及options等类型的Http请求 使用Requests发送网络请求非常简单，首先要导入Requests模块： >>> import requests 然后，尝试获取某个网页 >>> r = requests.get('https://dc.kellyx.com:9635/match/games?pageNum=1&matchId=&countryId=') >>> print(r.text) 传递URL参数 你也许经常想为 URL 的查询字符串(query string)传递某种数据。如果你是手工构建 URL，那么数据会以键/值对的形式置于 URL 中，跟在一个问号的后面。例如， httpbin.org/get?key=val 。 Requests 允许你使用 params 关键字参数，以一个字符串字典来提供这些参数。举例来说，如果你想传递 key1=value1 和 key2=value2 到 httpbin.org/get ，那么你可以使用如下代码： >

一.介绍 　 　JWT是JSON Web Token 的简写，Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC 7519).该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于认证，也可被加密 二.为什么要用JWT 　　 随着互联网技术的不断革新以及人们使用互联网的频率越来越高，网站人数日趋增长，这样给服务器带来了巨大的压力，在传统的互联网架构中，使用session（会话）来作为标识用户的凭证，当用户登录系统后，一般将用户的账号，角色等信息存在session会话中，然后返回客户端，将session存在客户端的Cookie中，这样用户再次请求的时候就带上Cookie里的session_id，与之前的校验，但是这样有很大的弊端，我们知道session它存在服务器端（试想一下如果百万上千万的session同时存在于服务器，那服务器所承受的压力是很大的，当然，没有那个公司到达这个规模还用session,这东西过时了），使用session的弊端还在于它无法满足分布式系统的需求

/*--> */ /*--> */ 原文链接： Kali Linux Web 渗透测试视频教程—第十九课 -metasploit 基础 文 / 玄魂 目录 Kali Linux Web 渗透测试视频教程 — 第十九课 -metasploit 基础 ...................... 1 metasploit ..................................................................................................... 1 基本体系结构 ............................................................................................... 1 Mestasploit 用户界面 .................................................................................. 1 启动 ............................................................................................................... 1 基本应用 - 端口扫描

深入理解JWT的使用场景和优劣 原创： 徐靖峰 Kirito的技术分享 Kirito的技术分享 微信号 cnkirito 功能介绍 「技术分享」某种程度上，是让作者和读者，不那么孤独的东西。「Kirito的技术分享」致力于探讨 Java 生态的知识点，内容覆盖分布式服务治理，微服务，性能调优，各类源码分析。追求有深度并兼具表达力的文字。 2018-04-20 经过前面两篇文章《JSON Web Token - 在Web应用间安全地传递信息》《八幅漫画理解使用JSON Web Token设计单点登录系统》的科普，相信大家应该已经知道了 JWT 协议是什么了。至少看到 eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJxaWFubWlJZCI6InFtMTAzNTNzaEQiLCJpc3MiOiJhcHBfcW0xMDM1M3NoRCIsInBsYXRmb3JtIjoiYXBwIn0.cMNwyDTFVYMLL4e7ts50GFHTvlSJLDpePtHXzu7z9j4 这样形如 A.B.C 的字符串时能敏感地认出这是使用了 jwt。发了这两篇文章后，有不少读者在文末留言，表达了对 jwt 使用方式的一些疑惑，以及到底哪些场景适合使用 jwt。我并不是 jwt 方面的专家，和不少读者一样，起初研究时我也存在相同疑惑，甚至在逐渐接触后产生了更大的疑惑