Hello! Hashnode.
Updated
•1 min read
Command Palette
Search for a command to run...
More from this blog
qiwen-file 存在存储型XSS漏洞
qiwen-file中的文件重命名功能存在存储型XSS漏洞,该功能运行攻击者在文件名中插入恶意代码。 该漏洞使恶意代码能够在文件目录和文件分享页面上运行。当攻击者创建了带有恶意代码的分享文件后,受害者一旦打开该恶意分享链接,就会执行该恶意代码。 需要一个账户,进入网盘任意创建或上传一个文件,完成后右键单击选择重命名,在新文件名处输入Payload,点击确定即可 Payload: <img src="" onerror="alert(document.cookie)"> 访问该文件所在的目录时...
Jan 15, 20241 min read
qiwen-file 未授权访问网盘文件
该漏洞允许攻击者未经授权在线查看其他账号下的docx、html、txt等文件内容。 Payload:http://*.*.*.*/onlyoffice?userFileId=${userFileId}&ot=detail 需要注册一个账号,然后上传一个docx类型文件,点击进入在线查看,通过修改url中的userFileId参数可以查看未经授权的文件内容。 安全建议 严格的权限控制
Jan 15, 20241 min read
通过Python批量获取企业统一信用代码
前几天公司项目需要录入一批企业信息,客户只提供了企业名称但没有提供统一信用代码,手动一个一个查询太慢了,百度又没有相关的东西,搜索结果不是爱企查就是企查查、天眼查之类的,无一例外都得开会员才能够批量查询…… 好在公司以前的一个项目中有一个Java编写的从国家企业信用信息公式系统查询获取企业统一信用代码的工具类,我找到正在负责这个项目的同事把这块Java要了过来 然后发现……我还需要再创建个Java项目,然后把各种依赖搞过来,挺麻烦的。 所以我找到了ChatGPT,让它帮我转成了Python,过程...
Aug 21, 20231 min read
