MD5长度扩展攻击详解

  MD5长度扩展攻击,简单说就是知道 MD5(secret + message)secret长度前提下,可以推算出 MD5(secret + message||padding||m’),不过 secret 长度也可爆破。这里 paddingsecret 后的填充字节,有固定填充规则;m’ 可以是任意数据,|| 是连接符,可以为空。严格来说也不算是MD5的漏洞,应该说是用法出了问题,比如用 MD5(message + secret) 就可避免。

博客优化和CDN加速

  内容涉及:1. 访问顶级域名自动跳转到www二级域名,在服务端做还是在CDN和域名解析时候做?比如 abc.com 跳转到 https://www.abc.com ; 2. 配置CDN时候域名解析CNAME冲突?MX冲突?A记录冲突? 3. CDN分别给顶级域名和二级域名加速,还是只对二级域名加速? 4. 文章链接更新为 https://www.abc.com/category/abbrlink.html 格式。折腾了这么久,网站配置方面的事情应该可以告一段落了。

xss大杂烩

  首先强力推荐一个系列:[腾讯实例教程] 那些年我们一起学XSS,二哥当真无愧XSS第一人。原文贴不上了大家搜镜像吧。大家学习XSS时候都非常关注JS、HTML和CSS,比较容易忽视编码、解码和DOM相关的知识,一般也都以弹窗来衡量XSS是否成功,不过实践中想要调用外部JS还是非常依赖对DOM和编码解码的理解。

hexo-theme-yelee配置

  Hexo有很多简洁美观的主题,这里记录一下hexo-theme-yelee的配置,hexo-theme-yelee是一款Hexo双栏博客主题,配置文件主要有两个:

  • 一个<folder>/_config.yml,配置网站名字、网站路径和主题目录等;
  • 另一个 <folder>/themes/yelee/_config.yml,配置主题搜索和评论等。