Hỏi về lỗi bios laptop acer nitro 5
bạn cần set password cho bios để bật được các tính năng đó nhé
Ngôn ngữ lập trình ứng dụng trò chơi
Mở game lên có logo của Unity k bạn, nếu có thì code trên Unity for sure
làm sao để giải nén file.zip.zip....zip
Hiểu theo ý của bạn thì bạn giải nén file log.zip.zip.zip.zip.zip.zip ra bên trong sẽ là file log.zip.zip.zip.zip.zip, tiếp tục cần giải nén cho đến khi ra file log cuối đúng k, bạn có thể sử dụng script python để làm cho nhanh.
Nhớ copy file ra để test trước với script này nhé, không là nó xoá bay file đấy
import os
import zipfile
def extract_all_zips(directory):
for file in os.listdir(directory):
if file.endswith('.zip'):
file_path = os.path.join(directory, file)
while zipfile.is_zipfile(file_path):
with zipfile.ZipFile(file_path, 'r') as zip_ref:
zip_ref.extractall(directory)
inner_file = zip_ref.namelist()[0]
file_path = os.path.join(directory, inner_file)
os.remove(os.path.join(directory, file))
directory = '/path/to/your/logs/folder'
extract_all_zips(directory)
mạng
Nó chỉ là khác nhau giữa format thể hiện ipv4 và ipv6 thôi bạn
- IPv4 bao gồm 4 trường được phân tách bằng dấu chấm (
.
) - IPv6 bao gồm 8 trường, được phân tách bằng dấu hai chấm (
:
)
Hỏi về dual ram laptop
Câu 1: Theo hình ảnh trên thì con laptop của bạn có 1 khe cắm ram mở rộng thôi, CPU-Z có thể hiển thị sai, bạn có ảnh CPU-Z gửi lên đây mọi người xem xem đúng k
Câu 2: Theo lý thuyết thì càng nhiều ram càng tốt, bạn không cần quan tâm dung lượng ram bao nhiêu mà quan tâm cái số bus ram, bạn cần lắp thêm thanh ram bằng hoặc cao hơn số bus ram hiện có của bạn. Do ram nó chạy theo bus thấp nhất của những thanh bạn gắn vào.
Performance khi build php-fpm khi build Dockerfile của Framgia
Bạn có thể dùng image này, mình dùng chạy ngon lành
Dùng "cake bake model students" bị lỗi trong CakePHP
Bạn sử dụng Docker thì bạn gõ command trong Docker nhé, hình như kia là do bạn gõ bên ngoài docker nên báo lỗi thôi
Cài đặt RKE( rancher) trên win10
https://github.com/rancher/rke/releases/
Bạn vào đây download với đúng phiên bản windows của mình đang sử dụng là được, thường sẽ là rke_windows-amd64.exe
zipcode việt nam
Mình tìm được mỗi quả file PDF này, bạn xài tạm
Mn hay dùng font chữ gì để code trên vs code ạ em cảm ơn nhiều <3
Cá nhân thì mình thích dùng Fira Code, bạn có thể chọn những font nào support font ligatures để có thể hiển thị như hình nhé
Lưu JWT vào localStorage hay Cookie khi authorize requests cho Serverless server?
@xuanan2001 đầu tiên cho mình xin respect với câu hỏi rất chi tiết của bạn, và bạn cũng đã bỏ thời gian ra để nghiên cứu mấy cái này, rất đáng học hỏi
Về vấn đề JWT nên được lưu ở đâu, thì JWT nên được lưu ở trong cookie vì đây là session token giúp server xác định danh tính của người sử dụng, cần được bảo vệ một cách an toàn nhất, bạn cũng có thể đọc tại đây JWT authentication: Best practices and when to use it
Việc lưu session tại localStorage thì rất dễ bị XSS chôm mất như bạn đã khẳng định. Tuy nhiên với Double Submit Cookie
thì bắt buộc phải có lỗ hổng XSS trước thì mới có thể khai thác được, CSRF token ở đây được sinh ra để chống lại lỗ hổng CSRF (ví dụ khi bạn duyệt web ở trang nọ mà tự nhiên thấy redirect về trang của mình và thấy profile của mình thay đổi chẳng hạn), bạn có thể đọc thêm tại https://viblo.asia/p/tan-cong-csrf-va-cac-van-de-xung-quanh-djeZ1PGjKWz
Khi bạn bị XSS, việc đưa session token vào httpOnly
sẽ tránh được cho việc attacker có thể thu thập được session token và tấn công lại bằng kiểu replay attack, nên việc sử dụng session token đưa vào cookie với cờ httpOnly
là cần thiết
Local File Inclusion
Ở đây chắc là bạn muốn khai thác từ LFI lên RCE với webapp chạy PHP.
Việc đầu tiên biết được webapp đó dính lỗi LFI thì như
bạn @tranminhnhat đã chia sẻ rồi, mình sẽ đi sâu vào vấn đề khai thác từ LFI lên RCE giúp bạn.
Để từ LFI lên RCE với webapp chạy PHP cần phải thoả mãn 2 điều:
- Webapp có chức năng bị lỗi LFI (đã có rồi)
- Biến, file,... mình có thể control được (ví dụ bên trên kia là mình có thể control được User-Agent)
Vậy thì tại sao lại là User-Agent
Do chúng ta có thể include được file /proc/self/environ
vào và đọc chúng, chúng ta có thể thấy được biến môi trường HTTP_USER_AGENT
thay đổi giống với giá trị của User-Agent mình truyền vào thông qua HTTP Request, vậy thì chúng ta chỉ cần chỉnh sửa User-Agent thành code PHP để thực thi (Do PHP include file vào và thực thi như file PHP bình thường nên có thể excute code PHP). Bài viết bạn đọc không chỉ rõ ràng chỗ này nên bạn mới cảm thấy không hiểu lắm.
Nâng cao hơn thì nếu chúng ta không đọc được /proc/self/environ
thì sao, hoặc trong đó không có biến HTTP_USER_AGENT
hay đại loại biến mà mình không control được thì sao. Chúng ta có thể recon xem có thể đọc được file log của webapp/reverse proxy (apache/nginx...) hay không, vì file log có dạng
103.203.57.25 - - [01/Mar/2022:17:57:11 +0700] "GET / HTTP/1.1" 200 303 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36"
cũng chứa User-Agent mình có thể control được
Hoặc lợi dụng một vài biến SESSION trong PHP cũng được, bạn có thể đọc thêm trong bài viết này https://xen0vas.github.io/Exploiting-the-LFI-vulnerability-using-the-proc-self-stat-method/
Còn cũng có thể include file chứa code PHP để RCE nữa, giống như @tranminhnhat đã comment.
Hi vọng sẽ giúp được bạn. See you
hỏi heroku cli của heroku
Bạn chưa cài đặt git trên windows, bạn cài đặt theo link này nhé https://git-scm.com/download/win
Có phải website mình bị virus ko?
Web Server của bạn đang bị khai thác rồi, attacker ghim được webshell lên server của bạn rồi, giờ cần backup lại file đó và kiểm tra log xem attacker tấn công như thế nào, còn muốn chống tiếp thì hỏi bác Quảng để tư vấn
Làm sao biết được Access Token bị sửa hay chưa ?
Đầu tiên cần phải xác định access_token nó là kiểu gì:
- nếu là JWT thì ko cần lưu, check HMAC signature = secret key của server là ok (các thông tin khác thì đã encoded có sẵn trong access token rồi)
Về JWT Tokens thì bạn có thể đọc thêm tại https://auth0.com/docs/tokens/json-web-tokens/validate-json-web-tokens
Với JWT Tokens thì sẽ có thể tồn tại nhiều access_token
- nếu là dạng khác (string) thì phải lưu DB, kèm metadata: exp time, issuer, vân vân, cái này sẽ check phía bên server, thường là post token lên để server check rồi trả về thông tin cần thiết (validate tại db trên server)
Ở dạng này thì thường sẽ có 1 hoặc nhiều hơn 1 access_token, tuỳ theo phía đằng sau server xử lý kiểu gì
Bạn có thể đọc thêm tại
Muốn Gửi nhiều dữ liệu lên server với GET API thì làm thế nào?
Bạn có thể sửa lại GET API thành POST API cho nó gọn gàng và đẩy được nhiều dữ liệu lên nhé, cách xây dựng cũng giống GET API thôi
QR code
Mình k biết các máy Android khác như thế nào, nhưng hiện tại mình đang dùng Pixel và nó cho phép quét QR từ camera của máy luôn nhé Chẳng qua là nhà sản xuất nó có tích hợp hay không mà thôi. Nếu bạn thích thì có thể mua máy Pixel về dùng cũng được
[Hỏi] Phòng/Chống Double extensions trên Windows Server 2016
Nếu bạn đã chỉ cho phép đuôi file .txt được quyền đẩy dữ liệu lên server, thì user có thể đẩy file double extension lên được, tuy nhiên windows có file .txt nó sẽ không thể thực thi file đó được, nên bạn yên tâm về virus có tồn tại trên đó không nhé, trừ khi hệ thống của bạn xóa .txt ở đuôi file đi thôi
Hỏi về anh Tran Duc Thang @thangtd90
https://thangtd.com/ Người truyền lửa biết bao thế hệ bạn nhé