起因

前一段时间在工作中意外发现，CORS 并不适用于 Websocket 链接。
具体表现为，浏览器会忽略在websocket upgrade handshake过程中，所返回的 CORS 头。
比起类似的 CSRF 来说，感觉比较冷门，遂成文记录一下。

- 阅读剩余部分 -

思路

猜测关键上传函数跟 Upload 有关，于是搜索 Upload 后找到 UploadScore
MITM 抓一下包，发现成绩提交 URL 和该函数行为匹配
本来想重新实现一遍 signature 的算法，但是好懒
于是直接改DLL，然后修改关键数据即可

- 阅读剩余部分 -

0x00 之前

在 RealWorldCTF 里面看到一道白盒审计的题目, 漏洞在一处写反了 decorator 包裹函数的顺序, 而导致的权限绕过, 比较好发现.

- 阅读剩余部分 -

前言

这是一篇面向大众的教程

对 bare vm supervisor 了解的不多，而ESXi的安装程序又有些智障，在x86软路由上，这安装程序的问题似乎尤为的突出...

这次折腾ESXi的途中被它坑了两下，这里简单的总结一下遇到的两个坑。

ESXi版本: 6.7.0 (官网 iso 镜像, rufus 写入 U 盘)
硬件: 小马 x86 软路由 V2

- 阅读剩余部分 -

1 前言

在测试服务器上想把 tensorflow 相关代码部署一下

却发现 CentOS 6.1 带的 glibc 和 libstdc++ 都太老了，tensorflow跑不起来。

于是想手动升级一下这两个 lib。

- 阅读剩余部分 -