AlimSah的博客

原创 Git 自举，编译器自举

今天看一篇文章提到了“Git 自举”，它指的是 Git 实现了自我托管，也就是 Git 可以托管 Git 自身的源码。这个概念很简单，但是想了解一下具体实现原理是什么，于是搜了一下“自举”，相关的大多是“编译器自举”的内容，我也顺便看了一下，发现没有多少有意义的参考内容。但其实也是有那么一两句介绍让我思考以后总算明白了编译器自举是怎么回事。首先需要知道两个东西：编译器是用来编译程序的，不过...

原创 Burp Suite 代理机制，代理 PC、手机配置

时隔多年，重新拿起 Burp Suite。对以前使用 Burp 还有一些印象，但是具体操作起来，还是有一些出入。折腾了一阵子，终于在手机端和 PC 端都代理成功了。这一次直接记录下来，避免再折腾。总的代理机制这是一篇面向对于使用 Burp Suite 有一丁点了解的读者的总结，所以有些东西会根据我自己觉得是否关键作一些解释，尽量讲得很清楚。代理机制不分什么端的设备，都是一样的。简单地讲就是，...

原创 【解决】GitHub 客户端下载后安装在哪里？

GitHub Desktop 配置环境变量GitHub 安装路径GitHub Shell、Bash环境是 Windows 10。从 GitHub 官网下载了 GitHub 的 Desktop 版本之后，它其实不仅是一个 GUI，还带了 Shell（Bash），但是发现找不到它们是被安装在哪个路径。（主要是要知道 Shell 的路径，GUI 的路径不重要）后来了解清楚了，在 Win ...

原创 避开 Windows 记事本-记录一下

原创 函数为什么回调？关键点解析回调函数

正在阅读 Web Worker 的相关介绍，从中理解了回调函数（CallBack）的概念。虽然可能不全面，但是先记着，因为从这里就解开了我一个大疑惑，也就是回调函数跟“普通函数”的区别是什么。之后查阅更多相关内容再梳理，现在只是想把这个大的思维突破给记着，不然又要忘记。也先不要管描述有没有技术细节上的错误，这里先把关注点放在理清回调函数机制上，因为顾虑太多的话，就不是这篇文章“只想记录一下这个...

原创 只用13个字符完成Python编程

在Python体制内，只用13个字符去编程GitHub上有个项目叫Pyfuck，这是个很Geek的项目，作者一共只用到13个字符就可以表示Python的所有字符，并执行。

原创 python(2.7)中多线程使用举例

python2.7上多线程的三种使用方法。including modules:thread,threading,Queue。

原创 【burpSuite】浏览器设置代理后无法访问https

开启burpSuite，浏览器设置代理之后，如果访问使用https的网站时，会被卡住，告诉你“您的访问不安全”之类的。简单地说，这是证书与证书信任的问题，解决方法是下载burpSuite官方(也就是portSwigger)的证书，并信任它。官方指导：https://support.portswigger.net/customer/portal/articles/1783075-installing

原创 DNS递归查询与迭代查询

DNS递归查询与迭代查询summary一直以来对于DNS查询的“递归”与“迭代”方式感到困惑。一般人就直接跟你说“DNS客户端向DNS服务器请求叫递归查询”，“DNS服务器之间的查询请求是迭代查询”，听了之后根本不知所谓。。。直到我看了《网络操作系统——windows server 2003配置与管理》（陈景亮主编）一书，明白了具体情况。以下主要是“摘抄”，包括附图。不自己整理，主要是因为它写得确实

原创 XSS防御方法

快速整理：XSS防御方法快速整理XSS防御方法SummaryPART I1输入过滤2输出过滤编码-encodeX黑白名单4HttpOnly CookiePART IIPART IIIDOM-BasedDOM-Based XSS概念DOM-Based XSS防御Referancewith thanksSummary这里分两个方向来说XSS的防御方法，PART I 是从具体的原理机

原创 CSRF的原理及防御

简解：CSRF的原理及防御简解CSRF的原理及防御CSRF原理防御检验HTTP Referer使用验证码使用tokenReferance with thanksCSRFCross-Site Request Forgery，跨站请求伪造。攻击者通过盗用用户身份悄悄地发送一个请求，达到目的。原理简单地讲，我们在上网的时候，网站会使用cookie来识别用户身份，【1】每次请求一个资源时，客

原创 Kevin Mitnick的TCP序列号预测攻击原理

Kevin Mitnick的TCP序列号预测攻击原理TCP/IP协议栈的设计和利用还是让我觉得太炫酷了！！ 环境分析涉及到四台机器：攻击者：Mitnick受害者：Shimomura中间被利用者：Remote测试ISN算法机器：Tester 攻击入口被攻击机器S与远程服务器R之间，R可以通过在TCP 513 端口运行rlogin访问S。其中rlogin使用不安全的认证方式：基于源IP

原创 win10+64位+python3.4安装scrapy

win10+64位+python3.4安装Scrapy 分析想学习scrapy，所以网上找资料来安装。问题有不少。 1、一般大家用linux而不是Windows 2、一般大家用python2.7而不是python3.4 3、一般大家用win7而不是win10 具体1、先安装pip，方便后边安装其它东西。 官网：https://pypi.python.org/pypi/pip#do

原创 python 装饰器简单释义

python 装饰器简单释义 Tag虽然我讲的不一定都是准确的，毕竟我也是个Python新手，具体的一些深入的原理还要靠大家自己去别的权威的地方了解。并且这里我也没有讲到namespace的东西。不过可以保证的是，看了这一篇文章，你一定能够有一个“装饰器”的思维。然后再通过你去查看其它关于装饰器的资料，这样才能真正弄懂它。这也是我这篇文章所能达到的高度，并不是要你看完就完全知道装饰器，而是能够

原创 SSL/TLS密钥协商（握手）过程

SSL/TLS密钥协商过程 背景某公司考试有道题目让说明SSL/TLS协商密钥过程。一看到这题我立马就想起当初网络信息安全课期末复习的时候碰到过这个问题，那时候刚接触这些加密解密什么的东西，对很多概念是很模糊的，所以查找资料后，在自己的头脑里，给这个问题整理出了答案：1、建立安全能力2、服务器端进行认证，交换密钥3、客户端进行认证，交换密钥4、结束之后就算再有遇到SSL相关的东西，也就只

原创 HTTP与TCP的关系

HTTP与TCP的关系原来一直是对HTTP与TCP的关系模糊不清的，这有一点是由于HTTP名字的中文翻译失误。HyperText Transfer Protocol，它翻译成“超文本传输协议”，问题就在这个传输。于是我总是把HTTP和TCP的职能认为是同类型的了，然而实际上它们不是。HTTP是在TCP之上，它负责在发送端“生成针对目标Web服务器的HTTP请求报文”和在接收端“对对Web服务器请求的

原创 ping 命令中的 TTL

ping 命令中的 TTL TTL（Time To Live）当我们在使用ping命令时，返回结果里会带一个TTL值。这个东西的含义其实就是Time To Live，指的是报文在网络中能够‘存活’的限制。以前这个限制方式是设定一个时间（Time To Live中的Time就是这样来的），当报文在网络中转发时，时间超过这个限制，最后一个收到报文的‘路由点’就会把它扔掉，而不继承转发。后来把时间限

原创 汉诺塔问题递归求解（python）

汉诺塔问题递归求解（python） 汉诺塔(Hanoi)问题古代有一个梵塔，塔内有三个座x，y，z坛，x座上有64个盘子，盘子大小不等，大的在下，小的在上。有一个和尚想把这64个盘子从x座移到z座，但每次只能允许移动一个盘子，并且在移动过程中，3个座上的盘子始终保持大盘在下，小盘在上。在移动过程中可以借助y座进行过渡。 解def hanoi(n,x,y,z): '递归从x把所有盘