Tips：
本文主要用于sql注入攻击自查，请不要做犯法的事情。

之前已经讲过如何用Burp和Sqlmap配合进行sql注入攻击，但是使用起来特别麻烦，对有大量接口调用的项目如何自动化的进行检测便变得重要，本篇注重介绍如何使用Burp以及sqlmap的批量注入来完成自动化注入攻击。

整体流程为：

1. 使用BurpSuite保存request记录log
2. 因为BurpSuite的日志记录了所有走代理的流量，包括静态资源啊，重复的提交啊，这些都会影响SqlMap的分析效率，所以对Request日志进行过滤。
3. 对过滤后的日志文件进行批量注入攻击。

查看更多

Tips：
本文章主要基于微信JS-SDK和jQuery WeUI 进行的微信公众号网页开发。前提需要
1.微信公众号已经完成开发者认证。
2.在“基本配置”中设置IP白名单。
3.提供一个能支持80或者443的服务。

微信官方文档 https://mp.weixin.qq.com/wiki?t=resource/res_main&id=mp1421141115

绑定域名

先登录微信公众平台进入“公众号设置”的“功能设置”里填写“JS接口安全域名”。

引入JS文件

在需要调用JS接口的页面引入如下JS文件，（支持https）：http://res.wx.qq.com/open/js/jweixin-1.2.0.js

获取access_token

access_token 用户获取jsapi_ticket，有效期7200秒，开发者必须在自己的服务全局缓存access_token。
建议开发者建立自己的access_token中控服务器统一获取和刷新，其他业务逻辑服务器所使用的access_token均来自于该中控服务器。 微信获取access_token接口文档

接口调用说明

1
2

https请求方式: GET
https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=APPID&secret=APPSECRET

我这里使用了shell脚本获取access_token。

1
2
3

a_url=`curl https://api.weixin.qq.com/cgi-bin/token\?grant_type\=client_credential\&appid\=xxx\&secret\=xxxx`
access_token=`echo $a_url|jq -r '.access_token'`
echo $access_token

tips: jq 是linux下shell进行json处理的工具，很强大。

查看更多

在做开发的工程中经常会遇到需要进行抓包的情况，自己经常使用的有Fiddler和Charles，其中Fiddler用在Windows平台，在Mac电脑上因为没有Fiddler，只能用Charles，但是Charles还是收费的，没有找到破解版本。
今天在使用sqlmap进行自动化注入的时候，发现一款在mac电脑上不错的工具，Burp Suite。

介绍

Burp Suite是一个集成化的渗透测试工具，它集合了多种渗透测试组件，使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中，我们使用Burp Suite将使得测试工作变得更加容易和方便，即使在不需要娴熟的技巧的情况下，只有我们熟悉Burp Suite的使用，也使得渗透测试工作变得轻松和高效。
Burp Suite是由Java语言编写而成，而Java自身的跨平台性，使得软件的学习和使用更加方便。Burp Suite不像其他的自动化测试工具，它需要你手工的去配置一些参数，触发一些自动化流程，然后它才会开始工作。
我这目前只用了代理抓取手机端接口功能。
可以直接从官方网站下载免费版本使用：https://portswigger.net/

也可以直接下载破解版本，功能更多，可以保存工程，不用每次都配置。下载地址 链接: https://pan.baidu.com/s/1ohVEExupkhnBvs3Yo08krA 密码: 3svt

在此感谢 https://github.com/Hehe-Zhc/BurpUnlimited 作者，让我们可以用上免费的Burp，原价$349.00啊 吓人。

查看更多

之前看明朝那些事的时候，就耳闻过万历十五年这本书，最近有机会拜读黄仁宇的这本“大失败的总记录”，深感本书的深奥，自己知识和能力着实有限，尽自己最大努力从公司管理运营角度揣摩一下。

明朝官僚体系中的道德和法制的问题与企业文化和制度。

中国两千年来是以道德代替法制，至明代而极。以礼法约束从皇上到臣子再到底层平民，皇帝作为一国之君，是礼法的引导和表率，是不能逾越礼法的，所以9岁就登基的皇上在礼法面前也深感无力。

礼法从上到下约束着每一层的人。整个国家的运行是依靠“礼”来进行行为规范和约束，通过道德来管理国家，让整个文官精英团队有效的工作，来管理和控制国家。这就像是公司文化对每个人的影响一样，如果文化一旦形成，即使老板也要在这个庞然大物之下按照礼法行事，充当表率，员工认同文化，然后增强文化，通过归属感和统一战线来增加公司凝聚力。

那为什么明明是把道德发展到极致的明，道德治国发展到极致的时候反而问题更严重了呢？物极必反，忽视了体制上技术上的发展。而这就对英语公司制度的制定和遵守，例如薪酬制度，奖惩制度，加班制度，项目开发制度等一系列科学的管理方式。这就是西方的管理方式，私有制以及资本主义的管理方式。

因为明礼法根深蒂固，制度改革难以行之有效。官僚集团互相麻木，自我催眠，都是在既有思维和体系下行事。也许崇祯皇帝所说的“诸臣误我”是由其历史原因的。

在公司内不仅要通过公司文化、道德来教育员工，还要通过相关的制度来激励员工，文化是产生雷锋的土壤，而制度是能够激励更多雷锋的养分。

就像华为“不让雷锋吃亏”一样，完善制度，所有人都追求高效，把文化和制度结合起来，拧成一股绳，公司产生的效益才能更进一步。而不是让文化阻挡了我们改革的脚步。

最后，平淡的“万历十五年”如何造成几十年后明朝的覆灭的，又给我们怎样的教训。也许这一周是平淡的，和以前一样，太阳照常升起，但公司未来三到五年的发展也许就决定在这一周，这一天。

网上很多为hexo next主题添加版权说明的文章，但是几乎没找到怎么为icarus主题设置版权说明的文章，可见还是Next主题多啊。

下面介绍如何为icarus主题添加版权说明。

Icarus添加版权说明

1. 修改blog目录下”/themes/icarus/_config.yml” 这个文件，在文件最后添加版权说明配置，如下:

   1 2 3 4 5 6 7

   #版权信息 copyright: enable: true # img: http://ostu98x74.bkt.clouddn.com/copyright/copyright.png #版权信息图片 site: http://www.inicb.com #版权信息所属网址 siteName: Ini's Blog #版权信息网站名字 siteAuthor: '王建磊' #版权归属人

2. 修改icarus主题下的layout/common/article.ejs文件，修改如下部分

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

   <% if (!index) { %> <%- partial('post/nav') %> <% } %> # 改为如下 <% if (!index) { %> <div> <ul class="post-copyright"> <li class="post-copyright-author"> <strong>本文作者：</strong><%= theme.copyright.siteAuthor%></a> </li> <li class="post-copyright-link"> <strong>本文链接：</strong> <a href="" title="{{ page.title }}"><%= post.title %></a> </li> <li class="post-copyright-link"> <strong>发布时间：</strong> <a href="" title="{{ page.title }}"><%= post.date.format("YYYY年M月D日 - HH时MM分") %></a> </li> <li class="post-copyright-license"> <strong>版权声明： </strong> 本博客所有文章除特别声明外，均采用 <a href="http://creativecommons.org/licenses/by-nc-sa/3.0/cn/" rel="external nofollow" target="_blank">CC BY-NC-SA 3.0 CN</a> 许可协议。转载请注明出处！ </li> </ul> <div> <%- partial('post/nav') %> <% } %>

3. 为版权说明添加样式
   修改themes/icarus/source/css/_partial/article.styl 文件，在文件末尾添加如下样式。

   1 2 3 4 5 6 7 8 9 10 11 12 13 14

   // Custom styles. //版权声明 .post-copyright { margin: 2em 0 0; padding: 0.5em 1em; border-left: 3px solid #FF1700; background-color: #F9F9F9; list-style: none; } .post-copyright li { //设置行高 line-height: 30px; }

至此，完成了为icarus添加版权声明的功能。

参考资料

• Hexo持续优化-在文章尾部添加版权声明信息
• hexo进阶之自定义material主题添加赞赏功能，版权信息，Gitment评论模块

最近因为工作需要，需要把源代码提交到甲方git服务器上，因为没必要把每次的更新日志也提交到甲方服务器上，并且考虑每次提交都很琐碎麻烦，所以自己写了个自动化脚本来自动完成提交工作。
如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

#!/bin/bash

# 记录同步时间
BAK_TIME=`date +%Y%m%d%H%M`

echo "开始同步android=================================start"
cd /Users/daren/source/cbsxf/dbuild_province
git pull
echo "下载代码完成"

echo "拷贝到甲方代码目录，忽略隐藏目录"
cp -R /Users/daren/source/cbsxf/dbuild_province/* /Users/daren/source/cbsxf/dbuild_province_unicom/
echo "拷贝代码完成"

cd /Users/daren/source/cbsxf/dbuild_province_unicom
echo "切换到甲方代码目录"
git add .
git commit -m "提交代码$BAK_TIME"
echo "commit代码成功"
#git push origin master
git push -u origin master
echo "推送代码到服务器"
echo "同步android结束=================================end"

新时代e支部大事记

对于吉林省的广大党员来说，对“新时代e支部”App肯定不陌生，不过使用了这么长时间的新时代e支部，您知道e支部背后的故事吗？下面由小编为大家整理一下新时代e支部诞生记。

“新时代e支部”的诞生主要经历了两个阶段，从2017年1月1日到2018年3月11日为第一阶段，那时候叫“长白山先锋e支部”，2018年3月11日到现在是第二阶段，经吉林省委领导决定，正式上线“新时代e支部”。

• 2017年1月-2017年2月。
  “长白山先锋e支部”项目由吉林省委组织部发起，由吉林联通公司，吉林省达仁科技有限公司负责承建。在这段时间是主要是确认需求，规划建设内容，设计效果图，初步规划“长白山先锋e支部”建设方案。

• 2017年3月10日
  经过一个多月的研发和需求确认，完成了第一个安卓版本的上线，并且交付梅河口试用。

• 2017年4月20日
  苹果第一个版本研发完成，发布到苹果市场。

• 2017年4月28日
  苹果第一个企业版本研发完成，发布到梅河口试用。版本号码为1.0。

• 2017年5月15日
  在经过了历时三个月的驻地和封闭开发，经过了中间30余次的迭代发布，终于在5月15日完成了第一个正式全省版本的发布，版本号码为2.1.5。

查看更多

本文主要介绍了如何创建一个免费的并且被各大浏览器默认认可的ssl证书，并且介绍了如何用Nginx配置证书，以及重定向Http到Https。

查看更多

fastdfs七种状态

1
2
3
4
5
6
7

# FDFS_STORAGE_STATUS：INIT      :初始化，尚未得到同步已有数据的源服务器
# FDFS_STORAGE_STATUS：WAIT_SYNC :等待同步，已得到同步已有数据的源服务器
# FDFS_STORAGE_STATUS：SYNCING   :同步中
# FDFS_STORAGE_STATUS：DELETED   :已删除，该服务器从本组中摘除
# FDFS_STORAGE_STATUS：OFFLINE   :离线
# FDFS_STORAGE_STATUS：ONLINE    :在线，尚不能提供服务
# FDFS_STORAGE_STATUS：ACTIVE    :在线，可以提供服务

正常状态必须是ACTIVE

1
2
3
4
5

fdfs_monitor /etc/fdfs/client.conf | grep ip_addr

		ip_addr = 192.168.1.120  ACTIVE
		ip_addr = 192.168.1.121  ACTIVE
		ip_addr = 192.168.1.122  ACTIVE

增加Storage节点（通过配置，自动加入）

1
2
3
4
5
6
7
8
9

# 安装Storage并配置mod_fastdfs.conf及storage.conf，设置fdfs_storaged及nginx自启动
# vim /etc/fdfs/storage.conf
tracker_server=192.168.1:22122
# 启动新加的storage节点（会自动同步相同group的内容）
fdfs_storaged /etc/fdfs/storage.conf

#vim /etc/fdfs/mod_fastdfs.conf

# 在track机器上执行执行fdfs_monitor /etc/fdfs/client.conf查看集群同步情况（会看到新增的storage节点）

删除Storage节点及删除后重新加入（通过fdfs_monitor删除）

1
2
3
4
5
6
7

# 停止某个storage节点
/etc/init.d/fdfs_storage stop

fdfs_monitor /etc/fdfs/client.conf delete group1 192.168.1.121

# 查看集群情况 fdfs_monitor /etc/fdfs/client.conf 可以到对应的storage节点状态为DELETED
fdfs_monitor /etc/fdfs/client.conf

重新加入storage节点

1
2
3
4
5

# 启动被删除的storage节点，查看集群状态，一开始会是 OFFILINE状态
fdfs_monitor /etc/fdfs/client.conf

# 过一会儿再查看集群状态，显示为ACTIVE状态
fdfs_monitor /etc/fdfs/client.conf

增加Tracker节点

1
2
3
4
5
6
7

# 在所有storage节点的storage.conf, mod_fastdfs.conf 中配置多条tracker_server记录
tracker_server=192.168.1.120:22122
tracker_server=192.168.1.125:22122

# 在client.conf中也配置多条tracker_server记录
执行 fdfs_monitor /etc/fdfs/client.conf 查看集群情况，可以看到tracker_serve_count变为2
另外可以指定tracker，进行集群监控  fdfs_monitor /etc/fdfs/client.conf -h 192.168.1.120 list

删除Tracker节点

1

去掉配置文件中不需要的tracker_server的记录，停止对应服务器上的tracker进程

参考资料

• http://www.cnblogs.com/sunmmi/articles/7209308.html

见如下链接： https://blog.peiyingchi.com/2017/03/10/hexo-icarus-settings/