跳至主要內容
2025年第34周开源学习周报

瞎越(XiaYue_Pro) 一款专为 Burp Suite 设计的越权漏洞检测插件,能够自动检测 Web 应用中的越权漏洞。插件通过对比不同权限级别下的响应差异,快速识别潜在的越权问题,为安全测试人员提供强大的自动化检测能力。github 地址:https://github.com/winezer0/XiaYue_Pro

使用效果

如下图所示,这款插件可以非常方便的进行多权限对比,也就是说可以在 BurpSuite 界面上同时显示原始响应包、低权限响应包的长度,如果出现包长度相同,则说明可能有越权问题,需要重点查看。可以用来检测垂直越权、水平越权问题。


悟空...大约 3 分钟
RocketMQ 架构简介

大家好,我是悟空。

上一篇我讲解了RabbitMQ架构(可以通过文末的合集查看) ,这次我们继续讲解另外一款消息队列 RocketMQ 的架构。

RocketMQ 在功能、稳定性、性能层面都比 RabbitMQ 的表现更好。

1.2.5.1 RocketMQ系统架构简介

RocketMQ 由 Broker、NamServer、Producer、Consumer 四大组件组成。如下图所示:

图片
图片

悟空聊架构...大约 14 分钟
拦截 IntelliJ IDEA 激活时发送的请求

要拦截 IntelliJ IDEA 激活时发送的请求,可以通过以下几种方法实现:

方法一:配置本地代理

  1. 设置代理服务器
    • 打开 IntelliJ IDEA。
    • 点击激活页面左下角的“Proxy settings”。
    • 选择“Manual proxy configuration” -> HTTP。
    • 配置代理服务器:
      Host name: 127.0.0.1
      Port number: 808
      
    • 在“No proxy for”中填写需要排除的域名,例如:
      redirector.jetbrains.com.cn,download-cdn.jetbrains.com.cn,dtahfujkndrht.cloudfront.net,cache-redirector.jetbrains.com,account.jetbrains.com,resources.jetbrains.com,hub.jetbrains.com,plugins.jetbrains.com,*.github.com,*.google.com,*.bing.com,api.cognitive.microsofttranslator.com,*.microsoft.com,*.sonatype.org,mvnrepository.com,repo.maven.apache.org,*.maven.org,geoway.com,*.aliyun.com,172.*,10.*,192.168.*,127.0.0.1,localhost
      
    • 这样可以拦截对 JetBrains 官方服务器的请求,同时允许其他域名的请求。

悟空...大约 1 分钟
从 0 到 1:Jenkins 对接企微机器人避坑指南(附可下载 Pipeline 模板)

背景

当Jenkins部署成功后,如何有效快速的通知相关人员?

之前我深度讲解过如何用邮件通知,但邮件还是不如即时通知软件,如企业微信、钉钉这种消息提醒。

这次我来讲解下Jenkins如何接入企业微信通知。

企业微信智能机器人

企业微信智能机器人是基于企业微信生态的AI对话系统,具备自动回复、多轮对话、数据沉淀等功能,支持文本和语音多模态交互,还可以自定义知识库。它通过自然语言处理技术(NLP)和知识图谱,能够理解客户语言并给出准确回复。其主要作用包括:

  • 对内解答员工提问:如公司规章制度、报销流程等。
  • 对外辅助客户咨询:如产品信息、售后问题等。
  • 提升效率:7×24小时响应客户咨询,减少人工客服负担。
  • 优化体验:提供标准化服务,避免情绪波动。
  • 降低成本:一次性投入后长期使用成本低。

悟空...大约 4 分钟
我的网站被攻击了,被干掉了 120G CDN 流量,还在持续攻击中...

你好,我是悟空。

背景

前几天,我正在用 Typora 写笔记时,发现图片无法自动上传到七牛云上了,然后登录到七牛云管理后台,发现已经欠费 20 多块钱了。

很奇怪,我用的都是免费的 10G 流量,很少会出现欠费的情况,怀疑是网站被攻击了。于是检查了最近网站的访问情况,吓我一跳,7天时间被访问了 123G 流量,14 万个独立 IP。

按小时显示
按小时显示

悟空...大约 4 分钟
Mac 安装 Nginx

macOS(Intel & Apple Silicon) 上从零到上线的一条龙配置流程,全部基于 Homebrew,可直接复制执行。


  1. 安装 / 更新 Homebrew(如果已装可跳过)
/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

悟空...大约 2 分钟Nginx
劫持 Typora 的图片请求、不影响浏览器正常访问

下面用一句话总结,再展开成 4 个关键步骤,让你一眼看懂「为什么 Typora 不改路径就能绕过七牛云的空 Referer 限制」。

一句话原理

把 Typora 的 HTTP 请求先拉到本地 Nginx,由 Nginx 代填 Referer 后再转给七牛云,浏览器则继续直连,互不影响。

4 步拆解

步骤 动作 作用
① 本地监听 Nginx 启动在 127.0.0.1:8888 成为 Typora 的“中转站”
② 进程劫持 Proxifier 把 Typora.exe 的所有 我的cdn域名:80 流量指向 8888 只改进程,不改系统
③ 补 Referer Nginx proxy_set_header Referer http://<我的网站>; 七牛云验证通过
④ 原路返回 Nginx 把图片回给 Typora 图片正常显示

悟空...大约 2 分钟