- 博客(25)
- 收藏
- 关注
RSS订阅原创 JAVA快速入门学习笔记第六章
针对数组不能自动扩容 ,数组刚开始生成的时候大小就确定了,想要在数组中再添加一个元素必须重新构建一个数组,十分麻烦创建一个ArrayList对象,如果不设置初始容量默认是10ArrayList内部封装了扩容逻辑,按1.5倍扩容。
2023-07-20 11:31:52
125
原创 JAVA快速入门学习笔记第五章
(3)**子类与父类或祖先类型之间可以用【是一个】的关系表达,比如猫是一个动物,猫是一个物体。顺着箭头转换(也就是待转换的对象和目标类型之间,要符合【是一个】的关系),就可以隐式转换,例:转换之后对象还是那个对象,只是用父类型代表了他。
2023-07-18 21:35:13
143
原创 JAVA快速入门学习笔记第四章
我们开发应用时只有现成的对象远远不够,我们要自己构建对象构造的方法如下:先说前两部分,我们要构造字段和方法,有了前两部分就可以创建对象。构造方法就是给字段赋一个初始值。例:创建对象的模板如下:例:可将创建的三个对象分别赋值给变量,方便后期操作,如下:总结一下,类就是对象的模板,通过字段来描述这个对象将来是个什么样的,然后用构造方法给这些字段赋初始值。
2023-07-18 15:36:10
155
原创 JAVA快速入门学习笔记第二章
我们初始阶段开发的程序都属于单机程序,同一时刻只能有一个用户使用,要使多个用户同时使用我们需要把他改成Web程序。一般我们分为三个部分:客户端,网络,服务器。所有客户端都可以通过网络连接服务器。客户端把数据输入给服务器,服务器把结果返还给客户端,这就是请求和响应,这就是CS架构(Client/Server)为了实现这种架构,我们就要调用SpringBoot,它里面有一个叫Tomcat的,他就可以实现服务器与客户端的连接。客户端用浏览器就可以访问。
2023-07-17 11:23:06
36
原创 java快速入门学习笔记第一章
JVM:JAVA虚拟机,解释JAVA代码,我们写好的JAVA语言并不能直接运行,需要交给JVM去翻译JRE:JAVA的运行环境,java写好后还需要基础功能的配和,我们称之为核心类库,核心类库+JVM=JREJDK:JAVA的开发环境,如果不仅仅想运行JAVA程序,还想开发新的JAVA程序,我们就需要借助开发工具,开发工具+JRE=JDK。
2023-07-16 20:33:34
56
1
原创 dvwa之javascript
在本关,我们要做的最重要的一件事就是读懂代码,读懂他的加密方式,读懂加密过程中调用了什么函数,调用不同函数的顺序,dvwa中的这一关用的是一种前端加密,当我们读懂了JavaScript的加密方式,我们就可以构造我们想用的参数。
2023-06-28 11:29:33
313
1
原创 DVWA之CSP Bypass
CSP(Content Security Policy):即内容安全策略。点击这里有详细的介绍。不过简单了解下就是指:开发者在开发过程中设置了一个类似于白名单的策略,要信任某个页面,哪些外部资源可以执行,哪些不可以,我们只需要配置规则,如何拦截由浏览器自己来实现。这可以从根本上防御XSS,如果CSP配置的好,可以从根本上杜绝XSS,相较于XSS漏洞,XSS更侧重于不能做哪些事,而CSP是只有哪些事可以做。
2023-06-27 16:34:07
196
原创 DVWA之XSS存储型
存储型XSS又称持久型XSS,攻击脚本将被永久地存放在目标服务器的数据库或文件中,具有很高的隐蔽性。反射型XSS的被攻击对象一般是攻击者去寻找的,就比如说:一个攻击者想盗取A的账号,那么攻击者就可以将一个含有反射型XSS的特制URL链接发送给A,然后用花言巧语诱骗A点击链接。当A不小心点进去时,就会立即受到XSS攻击。这种攻击方式需要一点骗术,所以这种攻击范围不是特别的广,并且提交漏洞时要么平台不认,要么会被认定为低危漏洞。
2023-06-26 17:23:54
698
1
原创 DVWA之XSS(DOM)
DOM就是一个树状的模型,你可以编写Javascript代码根据dom一层一层的节点,去遍历/获取/修改对应的节点,对象,值。了解了这么一个知识点,你就会发现,其实dom xss并不复杂,他也属于反射型xss的一种(domxss取决于输出位置,并不取决于输出环境,因此domxss既有可能是反射型的,也有可能是存储型的),简单去理解就是因为他输出点在DOM。dom - xss是通过url传入参数去控制触发的)
2023-06-08 15:58:27
308
原创 dvwa之XSS(reflected)
XSS,全称Cross Site Scripting,即跨站脚本攻击,也相当于是一种代码注入攻击,hacker在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行。根据注入的恶意代码是否存储在服务器数据库中,XSS可以分为存储型的XSS与反射型的XSS,还有DOM型的XSS由于其特殊性,常常被分为第三种。SS利用的常见用途:盗取用户cookies、劫持会话、流量劫持、网页挂马、DDOS、提升权限…
2023-06-07 11:16:38
390
原创 dvwa之SQL盲注
SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。SQL盲注和SQL注入的区别就是盲注它不会有完整的回显,这里分为两种,一种是布尔盲注,另一种是时间盲注。
2023-05-30 10:29:30
981
原创 dvwa之File upload
我们首先了解一下一句话木马,一句话木马的代码一般为:?eval()函数表示括号里的内容把他当做PHP语言执行,@的作用是后面的代码及时出错也不报错,这样可以不暴露我们的上传的参数(也就是upload),完后$_POST[‘upload’],upload在这里是一个全局变量,我们后期要执行的代码都要通过赋值给upload来执行。我们后期如果要用菜刀进行连接时,也需要把我们的全局变量(也就是upload)告诉菜刀。
2023-05-18 16:59:30
132
原创 dvwa之File inclusion
文件包含是指程序员把后期要重复使用的代码函数放到一个文件中,当后期要使用时只需要调用此文件就可以,不用再重新编写代码。File Inclusion,文件包含(漏洞),是指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。
2023-05-17 17:10:21
66
原创 DVWA之CSRF通关解析
CSRF(Cross-site request forgery),也被称为:one click attack/session riding,中文名称:跨站请求伪造,缩写为:CSRF/XSRF。一般来说,攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令。常用于盗取账号、转账、发送虚假消息等。
2023-05-12 20:44:08
349
原创 DVWA之Brute Force,Command Injection全关解析
下面展示一些内联代码片。下面展示一些内联代码片。LOW级源码可以看出没有任何防护措施,我们甚至可以用SQL注入进行攻击,但这里先说爆破,爆破需要用到brupsuite,抓包。
2023-05-09 11:27:18
87
原创 DVWA 之SQL注入LOW与Medium
这里我们重点看前几行代码,大概意思就是当我们呈递的东西不为空是,就会把我们呈递的东西赋值给id(代码中蓝色的),此时右边的id(代码中红色的,即加引号的)就是我们输入的东西,没有任何的过滤机制。而在数据库执行时,如select email from member where id=$id,其中 $id 为 我们输入的值 ,如果 输入 1 or 1=1 ,则变成select email from member where id=1 or 1=1 ,SQL注入大概就是这个原理。
2023-04-10 21:37:36
790
原创 DVWA靶场基础题
1.SQL注入:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。(1 )查看源代码可知低级无过滤,当输入1有如下显示但输入1’ or’ 1’ =’ 1就会显示数据库所有内容,之后再通过特定语句漏洞即可查出表名,列名以及表中内容。2.SQL盲注:原理与SQL的注入相同,而盲注则是只有两种情况,即TRUE和FALS...
2019-04-21 07:26:37
1681
原创 dvwa靶场基础题
SQL注入:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。(1)当ID为1是...
2019-04-20 17:29:33
1570
原创 DVWA靶场基础题
1.点击创建数据库提示 “Could not connect to the MySQL service.Please check the config file.”解决方法: 找到DVWA\config\ 目录下的config.inc.php 文件;找到 : DVWA[‘dbpassword’]=‘p@ssw0rd’;将其改为:_DVWA[ ‘db_password’ ] = ‘p@ssw...
2019-04-18 21:33:28
1231
原创 PHP实现注册功能
首先了解一下数据库SQL功能可总结为“增删查改”,登录功能就是要实现增。1.打开MYSQL命令行默认密码root。2.此操作可现实已有数据库3.打开phpMyadmin此处可新建数据库,在左侧数据栏打开数据库即可添加数据表,并可在其中插入字段,打开命令行,用“INSERT INTO [表名] (字段名) VALUES (数据)”插入数据。注册功能就是通过与网页建立联系,实现上述插入数据...
2019-03-30 14:11:23
1419
原创 小甲鱼PYTHON基础笔记
六.1.基本运算符:“+” “-” “” “/ ” “%”(求余) “ ** ”(10**2 即为100 即此代表指数) “//”(商取整,10//8即为1)2. a=a+1 可简化为 a+=1 同理乘除等也可以3. 基本运算符优先级:有括号先算括号,其次先乘除后加减,当减号被当作负号时优先级高于乘除(-32=(-3)*2),“**”他的优先级比其左侧高...
2019-03-12 16:55:36
264
原创 小甲鱼python基础视频笔记
一.python的下载(www.python.org)IDLE(python shell):通过键入文本与程序交互的途径,指的是命令行界面的解析器。具体用于检测代码是否可行。print(打印,输出)ctrl+n(出现上一条语句) ctrl+p(出现下一条)用(“”)括起来的东西是文本,是要显示东西。python的计算没有数字位数的限制,多大都可以算。若print(‘字符串...
2019-03-10 20:52:45
1051
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人