文章列表

WordPress 6.5 爆 XSS 漏洞,站长需尽快更新到 6.5.2

WordPress 发布了 6.5.2 维护和安全版本更新,该更新修复了商店跨站点脚本漏洞,并修复了核心和块编辑器中的十多个错误。同一漏洞同时影响 WordPress 核心和 Gutenberg 插件。 注意:由于初始包的问题,WordPress 6.5.1 未发布。 6.5.2 是 WordPress 6.5 的第一个小版本。 跨站脚本 (XSS) WordPress 中发现了一个 XSS 漏洞,该漏洞可能允许攻击者将脚本注入网站,然后攻击这些页面的网站访问者。 XSS 漏洞分为三种,但在 WordPress 插件、主题和 WordPress 本身中最常见的是反射型 XSS 和存储型 XSS。 反射型 XSS 要求受害者点击链接,这是一个额外的步骤,使得此类攻击更难发起。 存储型 XSS 是更令人担忧的变体,因为它利用了一个缺陷,允许攻击者将脚本上传到易受攻击的站点,然后对站点访问者发起攻击。 WordPress 中发现的漏洞是一个存储型 XSS。 威胁本身在一定程度上得到了缓解,因为这是经过身份验证的存储型 XSS,这意味着攻击者需要首先获得至少贡献者级别的权限,才能利用使漏洞成为可能的网站缺陷。 该漏洞被评为中等威胁,通用漏洞评分系统 (CVSS) 评分为 6.4(评分范围为 1 – 10)。 Wordfence 描述了该漏洞: “由于显示名称上的输出转义不足,在 6.5.2 及之前的各个版本中,WordPress Core 很容易通过 Avatar 块中的用户显示名称受到存储跨站点脚本攻击。这使得具有贡献者级别及以上访问权限的经过身份验证的攻击者可以在页面中注入任意 Web 脚本,每当用户访问注入的页面时就会执行这些脚本。” 建议立即更新 WordPress 官方公告建议用户更新其安装,并写道: “由于这是一个安全版本,建议您立即更新您的网站。向后移植也适用于WordPress 6.1 及更高版本。”

2024-04-22

自动监听微信视频号下载工具v1.0.2,支持直播回放

微信视频号下载工具,自动监听微信视频号视频,支持下载视频号视频、直播回放,支持获取视频下载链接。 使用时需要保持监听状态的开启,然后打开微信视频号,软件会自动监听视频 下载视频: 直接下载:您可以选择直接在软件点击下载或者选上自动下载视频 手动下载视频:点击复制链接,使用下载工具下载到本地后,点击解密,选择下载好的视频 下载地址蓝奏云

2024-04-22

微信聊天记录导出工具,WeChatMsg 留痕 V2.0.6 支持生成年度聊天报告

WeChatMsg 留痕是一款Windows端的微信聊天记录导出工具,帮助用户提取微信聊天记录(包括文本、图片、语音、表情包、拍一拍等系统消息),将其导出成HTML、Word、CSV文档永久保存,并且支持对聊天记录进行分析生成年度聊天报告,傻瓜式操作,开箱即用,非常简单。 WeChatMsg 留痕如何使用 下载并安装软件 登录要导出数据的微信(不支持微信多开,不支持部分老版本微信); 点击获取信息之后,正常情况下所有信息均会自动填充,这时候就直接点击开始启动就行了; 如果微信路径获取失败,就手动设置为微信中文件管理路径下的wxid_xxx文件夹,该wxid必须和前面获取的wxid一致,否则的话会显示密钥错误; 点击开始启动; 成功后新的数据库会存储在 WeChatMsg 软件目录下的 app/DataBase/Msg文件夹中; 最后重新启动WeChatMsg即可。

2024-04-22

夸克网盘多账号签到及通知推送青龙面板

夸克网盘多账户签到及通知推送Python代码,之前发过PHP版自动签到代码今天发的可以挂到青龙面板,每次签到会自动推送消息到微信。 import requests import json import notify def check_request_response(response): """检查请求是否成功,并返回响应数据或打印错误信息""" if not response.ok: print(f"请求失败,状态码: {response.status_code}") return None return response.json() def quark_sign_in(cookie): state_url = "https://drive-m.quark.cn/1/clouddrive/capacity/growth/info?pr=ucpro&fr=pc&uc_param_str=" headers = {'Cookie': cookie} # 获取签到状态 state_response = requests.get(state_url, headers=headers) response_data = check_request_response(state_response) if not response_data: return False sign = response_data["data"]["cap_sign"] if sign["sign_daily"]: number = sign["sign_daily_reward"] / (1024 * 1024) progress = round(sign["sign_progress"] / sign["sign_target"] * 100, 2) message = f"今日已签到获取{number}MB,进度{progress}%" print(message) return message # 执行签到 sign_url = "https://drive-m.quark.cn/1/clouddrive/capacity/growth/sign?pr=ucpro&fr=pc&uc_param_str=" params = {"sign_cyclic": True} headers = {'Content-Type': 'application/json', 'Cookie': cookie} sign_response = requests.post(sign_url, headers=headers, json=params) data_response = check_request_response(sign_response) if not data_response: return None mb = data_response["data"]["sign_daily_reward"] / 2048 print(json.dumps(data_response)) return f"签到成功,获取到{mb}MB!" def main(): # 定义多个 cookie,每个 cookie 带有名称作为键 cookies = { "cookie1": "", "cookie2": "", # 继续添加更多 cookie } # 定义用于存储签到结果的字典 sign_results = {} # 循环遍历每个 cookie 并调用签到函数 for name, cookie in cookies.items(): print(f"正在签到 {name} ...") sign_message = quark_sign_in(cookie) if sign_message: sign_results[name] = sign_message else: sign_results[name] = "签到失败" notify.send("夸克盘签到异常", f"{name} 的签到失败!") # 输出所有账户的签到结果 print("\n签到结果:") for name, message in sign_results.items(): print(f"{name}: {message}") # 汇总所有签到信息 summary_message = "\n".join([f"{name}: {message}" for name, message in sign_results.items()]) # 使用 notify.send 发送汇总信息通知 notify.send("夸克盘签到汇总", summary_message) if __name__ == "__main__": main()

2024-04-22

WordPress子比主题给评论增加正则拦截验证代码

网站开通评论功能就会有垃圾评论的可能,这样会浪费很多的精力去处理,有些纯英文还有些附带网址,很多插件可以处理这种情况,但插件过多就会影响网站速度,今天就分享个不需要插件来实现屏蔽垃圾评论的功能,那就是给子比加个正则验证,限制评论纯数字/纯英文/纯表情。 使用教程 将代码放到/wp-content/themes/zibll/func.php文件即可。注意 此方法评论必须带中文 禁止了纯数字、纯字母和纯表情。 //屏蔽纯英文评论 function refused_english_comments($incoming_comment) { // 获取评论内容 $comment_content = $incoming_comment['comment_content']; // 去除评论内容中的 [g=xxx] xxx为任意字符串 $comment_content = preg_replace('/\[g=[^\]]*\]/', '', $comment_content); // 检查评论内容是否为空 if (empty($comment_content)) { wp_die('{"error":1,"ys":"danger","msg":"评论不能是纯表情内容 <br/>Comments cannot be purely emoji content"}'); } // 检查评论内容是否包含中文 $pattern = '/[一-龥]/u'; // 禁止全英文评论 if (!preg_match($pattern, $comment_content)) { wp_die('{"error":1,"ys":"danger","msg":"评论必须包括中文 <br/>Comments must include Chinese"}'); } return $incoming_comment; } add_filter('preprocess_comment', 'refused_english_comments');

2024-04-22

移动吉比特光猫 SK-D746 获取动态超级管理员帐号与密码

去年11月老家换了一个 SK-D746 光猫,那个时候跟大家分享过一个通用(默认)的超级管理员账号和密码,结果今天一登录发现账号密码错误,应该是“被”改成动态超密了,于是乎今天重新跟大家分享一下这个移动创维光猫 SK-D746 获取动态超级管理员帐号与密码的方法。 首先使用光猫后面的信息登陆 user 账号,若不登陆,进行下一步操作的时候将会直接跳转到登陆界面。 登陆后使用浏览器访问下方地址,并进行下载保存到本地。 http://192.168.1.1/romfile.cfg 使用文本编辑器打开,使用查找功能(Ctrl+F),输入关键词(超级管理员账号)CMCCAdmin即可。 可以看到,这个 cfg 配置文件里面包含了各种账号密码,同时也显示了超级管理员动态密码,而且是明文的,直接复制登陆即可。

2024-04-21

微博免费领AppleMusic会员2个月

微博APP扫码->跳转到AppleMusic直接领取,新用户免费试用3个月,老用户试用2个月(记得取消一下订阅)

2024-04-21

小说角色更名器,小说广告清理V2.0.0

通常我们要改小说主角名时,都会用直接全部替换功能,有点简单粗暴,对于很多带称谓的地方容易出现人物错位,看起小说来非常吃力。而本工具可以批量修改小说中某个角色的姓名(包括别名、绰号、称号、昵称、称谓以及各种爱称等),让更名后的小说看起来更顺畅!!! 对于容易出现误判的称谓,可通过分析结果自行决定是否修改。所以匹配分析结果均能方便查看,可快速定位其在源小说中的位置进行手动分析。 操作不难,先添加小说文件(支持 epub 电子书格式),再打开导航窗口按提示步骤进行即可。 本工具仅做自娱自乐用,严禁用来恶意修改小说达到某些目的。 下载地址蓝奏云密码: gcf2

2024-04-21

长安二代CS75Plus汽车,自签安装app到车机

手里有长安的都知道,长安汽车除了部分车机有应用商店,自己想安装软件,要费点功夫,老版本可以解锁后挂载system分区用adb root安装app,很多人叫这种方式为扎根。但是新版本限制了这部分权限,导致无法解锁挂载system分区。 那为啥不用adb install直接安装呢?因为安装会验证证书这些,导致不能成功安装,所以本文就是想办法解除该限制。 流程 如何定位到关键点这里不过多赘述,最终定位到boot-ext.vdex这个文件,然后转为dex,丢到JEB里面,找到com.vecentek.security.CertificateManager 这个包。 找到isCheckAuth这个方法,可以看到会检查指定包名是否在白名单,不在的话后面会parseSignature 解析签名,然后getSerialNumber 获取 SerialNumber 并和系统app的比对,所以这个签名序列号应该就是突破点,那我们尝试按照这个序列号生成一个签名,签一个app推进去试试。 备注:boot-ext这部分属于为辰加密,不知道这样写是长安要求还是怎样,反正这个也算留了个后手吧。 生成证书 先提取一个系统app的签名,然后打印信息瞧瞧序列号是多少 keytool -printcert -file CERT.RSA #生成私钥 openssl genrsa -out private.key 2048 #生成v1证书 openssl req -new -key private.key -out csr.csr -subj "/emailAddress=auto_release@auto-pai.com/CN=SCM/OU=Software/O=WTCL/L=HaiDian/ST=Beijing/C=CN" openssl x509 -req -in csr.csr -signkey private.key -out certificate.crt -days 18250 -set_serial 0xddb66eefd98476f3 #将证书和私钥导出到 PKCS12 格式的密钥库文件 openssl pkcs12 -export -in certificate.crt -inkey private.key -out cert.p12 -name cert #生成jks keytool -importkeystore -srckeystore cert.p12 -srcstorepass 123456789 -srcstoretype PKCS12 -destkeystore cert.jks -deststoretype JKS -deststorepass 123456789 -noprompt #签名 java -jar apksigner.jar sign --ks cert.jks --ks-pass env:password --ks-key-alias "cert" --out "test_sign.apk" "test.apk" 此方法可以应用于长安大部分车型。 本文章中所有内容仅供研究、学习交流使用,不能用作其他任何目的,严禁用于商业用途和非法用途,否则一切后果自负,与作者无关。如有侵权请联系作者删除文章。

2024-04-21

360清理Pro 独立提取版 SysCleanPro v1.0.0.1081

360清理Pro英文名为SysCleanPro,它是360安全卫士极速版中的一个清理模块,是一款非常不错的清理工具,不需要安装360安全卫士极速版就可以单独使用。 集成【C盘清理】|【微信清理】|【QQ清理】|【隐私清理】四大场景 覆盖 “大文件” | “重复文件” | “休眠文件” | “系统垃圾” | “微信图片视频” | “QQ图片视频” | “使用痕迹”等多种类型的垃圾清理 下载地址蓝奏云

2024-04-21

极简人声伴奏分离 vocal separate/人声分离 0.0.4

这是一个极简的人声和背景音乐分离工具,本地化网页操作,无需连接外网,使用 2stems/4stems/5stems 模型。 将一首歌曲或者含有背景音乐的音视频文件,拖拽到本地网页中,即可将其中的人声和音乐声分离为单独的音频wav文件,可选单独分离“钢琴声”、“贝斯声”、“鼓声”等自动调用本地浏览器打开本地网页,模型已内置,无需连接外网下载。 支持视频(mp4/mov/mkv/avi/mpeg)和音频(mp3/wav)格式只需点两下鼠标,一选择音视频文件,二启动处理。 使用教程: 下载预编译文件; 下载后解压到某处,比如 E:/vocal-separate; 双击 start.exe ,等待自动打开浏览器窗口即可; 点击页面中的上传区域,在弹窗中找到想分离的音视频文件,或直接拖拽音频文件到上传区域,然后点击“立即分离”, 稍等片刻,底部会显示每个分离文件以及播放控件,点击播放。 如果机器拥有英伟达GPU,并正确配置了CUDA环境,将自动使用CUDA加速; 注意事项: 中文音乐或中式乐器,建议选择使用2stems模型,其他模型对“钢琴、贝斯、鼓”可单独分离出文件; 如果电脑没有NVIDIA显卡或未配置cuda环境,不要选择 4stems和5stems模型,尤其是处理较长时长的音频时, 否则很可能耗尽内存; 下载地址小飞机盘

2024-04-21

饿了么茶百道1元买椰子雪糕

饿了么APP搜索“茶百道”->随便进入一家店点横幅进入->可1亓买椰子雪糕,需配合奶茶随单使用

2024-04-20

emer

每天发现网络新鲜事

54538 文章
12 分类
7209.7k+ 访问

搜索

最新文章

热门文章

Zoomed Image