- 博客(27)
- 资源 (3)
- 收藏
- 关注
RSS订阅原创 注册、登录、密码修改页面渗透测试经验小结
目录 失效的图形验证码 手机验证码是否可被爆破 手机验证码批量重放(短信炸弹) 注册页面批量注册 注册页面覆盖注册 网站登录页面绕过 任意用户密码重置 失效的图形验证码在很多的注册、登录、密码修改等页面都需要用户输入图形验证码,目的是为了防止恶意攻击者进行爆破攻击。但是,在很多网站,...
2020-02-26 21:25:53
1975
1
原创 内网攻防经典技术备忘录
前言很早就想专门写一篇关于内网的文章,一直没有腾出空来,万万没想到,写下这篇文章的时候,竟然是我来某实验室实习的时间段:)信息搜集nmap扫描实时存活的ipnmap 10.1.1.1 --open -oG scan-results; cat scan-results | grep "/open" | cut -d " " -f 2 > exposed-services-ip...
2020-02-26 21:23:13
754
原创 Tomcat 爆出高危漏洞!
一、漏洞背景安全公告编号:CNTA-2020-00042020年02月20日, 360CERT 监测发现 国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞。CNVD-2020-10487/CVE-2020-1938是文件包含漏洞,攻击者可利用该高危漏洞读取或包含 Tomcat 上所有 webapp 目...
2020-02-26 21:22:13
1386
2
原创 实现 "长"链接变 "短" 链接
短链接,通俗来说,就是将长的 URL 网址,通过程序计算等方式,转换为简短的网址字符串。大家经常会收到一些莫名的营销短信,里面有一个非常短的链接让你跳转。新浪微博因为限制字数,所以也会经常见到这种看着不像网址的网址。短链的兴起应该就是微博限制字数激起了大家的创造力。如果创建一个短链系统,我们应该做什么呢? 将长链接变为短链; 用户访问短链接,会跳转到正确的长链接上去。 ...
2020-02-23 14:35:30
1891
原创 MongoDB极简教程
1.MongDB 简介MongoDB(来自于英文单词“Humongous”,中文含义为“庞大”)是可以应用于各种规模的企业、各个行业以及各类应用程序的开源数据库。作为一个适用于敏捷开发的数据库,MongoDB 的数据模式可以随着应用程序的发展而灵活地更新。与此同时,它也为开发人员 提供了传统数据库的功能:二级索引,完整的查询系统以及严格一致性等等。MongoDB 能够使企业更加具有敏捷性和可扩...
2020-02-23 14:27:53
295
原创 Docker 搭建HFish蜜罐
HFish 是一款基于 Golang 开发的跨平台多功能主动诱导型开源蜜罐框架系统,为了企业安全防护做出了精心的打造,全程记录黑客攻击手段,实现防护自主化。1、多功能 不仅仅支持 HTTP(S) 蜜罐,还支持 SSH、SFTP、Redis、Mysql、FTP、Telnet、暗网 等2、扩展性 提供 API 接口,使用者可以随意扩展蜜罐模块 ( WEB、PC、APP )3、便捷性 使用...
2020-02-23 14:25:29
2234
原创 Chrome浏览器必知必会的小技巧
说明这篇文章主要介绍的就是一些chrome浏览器的小技巧,很简单,希望对大家有所帮助。这其中的一些小技巧在低版本中是没有的,所以建议大家用最新版的,目前最新版是62,版本很重要,如果发现有些技巧不起作用,请先查看浏览器的版本。快捷键快捷键比较多,这里挑出几个常用的说一下 最后会给出一张比较完整的快捷键的表 下列快捷键可以在所有 开发者工具 面板中使用全局快捷键...
2020-02-23 14:24:56
346
原创 Linux 思维导图整理
今天整理了一下收集的Linux思维导图。Linux 学习路径Linux 桌面介绍FHS:文件系统目录标准Linux 需要特别注意的目录Linux 内核学习路线地址:https://www.jianshu.com/p/b087a229aaf1Linux Security Coachin...
2020-02-23 14:22:13
319
原创 springboot+mybatis+sharding-jdbc做读写分离
sharding-jdbc简介现已更名为: sharding-sphere,官方网址如下https://shardingsphere.apache.org/document/current/cn/overview/简单来说,最主要的可以做以下事情:1.数据库读写分离2.数据库分库分表3.分布式事务在今天的DEMO中, 我们一起来用shard-sphere来做数据库的读写分离主要需...
2020-02-23 14:20:46
748
原创 多线程中 sleep、yield、join 的用法及 sleep与wait区别
Object中的wait、notify、notifyAll,可以用于线程间的通信,核心原理为借助于监视器的入口集与等待集逻辑通过这三个方法完成线程在指定锁(监视器)上的等待与唤醒,这三个方法是以锁(监视器)为中心的通信方法除了他们之外,还有用于线程调度、控制的方法,他们是sleep、yield、join方法,他们可以用于线程的协作,他们是围绕着线程的调度而来的slee...
2020-02-23 14:20:14
365
原创 渗透测试思路
一、信息收集1,获取域名的whois信息,获取注册者邮箱姓名电话等。2,查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。3,查看服务器操作系统版本,web中间件,看看是否存在已知的漏洞,比如IIS,APACHE,NGINX的解析漏洞4,查看IP,进行IP地址端口扫描,对响应的端口进行漏洞探测,比如 rsync,心脏出血,mysql,...
2020-02-23 14:18:50
836
原创 Sqlmap常见命令
借着复习mysql的机会再重新复习一下sqlmap,因为参数太多了,我只记录一下自己常用的命令,如果想看详细大全,可以看一下大佬们的完整版文章参考https://blog.csdn.net/Breeze_CAT/article/details/80628392https://blog.csdn.net/SHIGUANGTUJING/article/details/91429067想...
2020-02-16 00:30:38
907
原创 sqlmap 中文手册
0x01、 基本信息官网sqlmap: automatic SQL injection and database takeover tool注入类型 基于布尔的盲注:即可以根据返回页面判断条件真假的注入; 基于时间的盲注:即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断; 基于报错注入:即页面会返回错误信息...
2020-02-16 00:17:46
364
原创 Java的main方法必须是public static void?
Main 方法是我们学习 Java 编程语言时知道的第一个方法,你是否曾经想过为什么 main 方法是 public、static、void 的。当然,很多人首先学的是 C 和 C++,但是在 Java 中 main 方法与前者有些细微的不同,它不会返回任何值,为什么 main 方式是 public、static、void,这篇文章尝试去找到一些答案。Main 方法是 Java 程序的入...
2020-02-11 01:37:59
581
原创 SpringBoot实现定时任务的动态增删启停
在spring boot项目中,可以通过@EnableScheduling注解和@Scheduled注解实现定时任务,也可以通过SchedulingConfigurer接口来实现定时任务。但是这两种方式不能动态添加、删除、启动、停止任务。要实现动态增删启停定时任务功能,比较广泛的做法是集成Quartz框架。但是本人的开发原则是:在满足项目需求的情况下,尽量少的依赖其它框架,避免项目过于臃...
2020-02-11 01:37:31
1367
原创 Windows内网协议学习LDAP篇之域用户和计算机用户介绍
0x00 前言这篇文章主要介绍AD里面的域用户,计算机用户。0x01 域用户1. 查询域用户当我们拥有一个域用户的时候,想要枚举域内的所有用户,主要有两个方法。(1) 通过SAMR 协议查询samr 也不算是一种专门的协议,就是一个RPC接口(这里简单地提一下。后面在RPC篇里面详细介绍这个RPC接口)我们平时使用的net user /domain就是使用samr...
2020-02-11 00:51:53
2463
原创 单例模式的优缺点,注意事项,使用场景 Java面试题精选 程序员闪充宝 昨天
单例模式介绍:单例模式(Singleton),也叫单子模式,是一种常用的软件设计模式。在应用这个模式时,单例对象的类必须保证只有一个实例存在。许多时候整个系统只需要拥有一个全局对象,这样有利于我们协调系统整体的行为。比如在某个服务器程序中,该服务器的配置信息存放在一个文件中,这些配置数据由一个单例对象统一读取,然后服务进程中的其他对象再通过这个单例对象获取这些配置信息。这种方式简化了在复...
2020-02-11 00:36:51
303
原创 5 亿整数的大文件,来排个序
一、问题给你1个文件bigdata,大小4663M,5亿个数,文件中的数据随机,如下一行一个整数:现在要对这个文件进行排序,怎么搞?二、内部排序先尝试内排,选2种排序方式: private final int cutoff = 8; public void perform(Comparable[] a) { perform(a,...
2020-02-11 00:36:05
161
原创 SpringBoot 单元测试利器——Mockito
Mockito 是一种 Java mock 框架,他主要是用来做 mock 测试的,他可以模拟任何 Spring 管理的 bean、模拟方法的返回值、模拟抛出异常...等,在了解 Mockito 的具体用法之前,得先了解什麽是 mock 测试1. 什么是 mock 测试?mock 测试就是在测试过程中,创建一个假的对象,避免你为了测试一个方法,却要自行构建整个 bean 的依赖链像是以...
2020-02-08 18:50:43
715
1
原创 HikariCP连接池
导读:在实际开发中我们常所熟知的数据库连接池有C3P0,DBCP、阿里Druid,等。但随着Springboot 2.0选择HikariCP作为默认数据库连接池这一事件之后,HiKariCP作为一个后起之秀出现在大众的视野中,以其速度快,性能高等特点受到很多人青睐。下面是我收集到的一些关于HikariCP的资料,用于帮助各位了解认识HiKariCP。什么是HikariCPHikariCP是...
2020-02-08 18:49:49
908
原创 代码生成利器:IDEA 强大的 Live Templates
前言Java 开发过程经常需要编写有固定格式的代码,例如说声明一个私有变量,logger或者bean等等。对于这种小范围的代码生成,我们可以利用 IDEA 提供的 Live Templates功能。刚开始觉得它只是一个简单的Code Snippet,后来发现它支持变量函数配置,可以支持很复杂的代码生成。下面我来介绍一下Live Templates的用法。基本使用IDEA 自带很多常...
2020-02-08 18:46:04
252
原创 三种处理异常的套路
Oh no, don't do this to me...中文翻译:哦,请不要这样写……// 写一句注释跳过异常try { throw new IOException("Made up");} catch (IOException e) { // 跳过}// 记到日志里,继续处理try { throw new IOException("Made ...
2020-02-08 18:43:15
322
1
原创 GitHub 拉取代码网速慢的问题
本人重度依赖 GitHub,面向 GitHub 编程,GitHub 可以让我每天早上打开电脑,假装了解最新开源项目。最近你们有没有发现,GitHub 明显变慢了,如果没有 fanqiang,拉取代码的速度简直惨不忍睹,如果拉取的量少还可以勉强拉下来,但是遇到数据量大的时候,2 KiB/s 的速度你能忍?拉到中途超时就让你痛不欲生。最近我就遇到这个问题,seata 社区的 seata.git...
2020-02-08 18:42:14
611
原创 Kali Linux侦听蓝牙设备
文章来源:华盟论坛原文链接:https://bbs.77169.net/forum.php?mod=viewthread&tid=375332&page=1&extra=#pid3702474虽然很多人每天可能会使用蓝牙,但大多数人不知道蓝牙的工作原理或会被黑客入侵。蓝牙黑客攻击为进入目标世界提供了清晰的清晰的窗口。几乎每个设备都具有蓝牙功能,人们在手机和平...
2020-02-08 18:41:20
7102
原创 RabbitMQ 延迟队列,消息延迟推送的实现
目录 应用场景 消息延迟推送的实现 测试结果 应用场景目前常见的应用软件都有消息的延迟推送的影子,应用也极为广泛,例如: 淘宝七天自动确认收货。在我们签收商品后,物流系统会在七天后延时发送一个消息给支付系统,通知支付系统将款打给商家,这个过程持续七天,就是使用了消息中间件的延迟推送功能。 12306 购票支付确认页面。我们在选好票点击确定跳转的页面...
2020-02-03 20:15:42
529
原创 超实用的 Nginx 极简教程,覆盖了常用场景
来源:http://t.cn/EVBldK2 安装 使用 http 反向代理配置 负载均衡配置 网站有多个 webapp 的配置 https 反向代理配置 静态站点配置 搭建文件服务器 跨域解决方案 概述 安装与使用 nginx 配置实战 参考 概述...
2020-02-03 20:13:46
277
原创 实战:用SSM框架实现支付功能(附源码)
# 前言本教程详细介绍了如何使用ssm框架实现支付宝支付功能。本文章分为两大部分,分别是「支付宝测试环境代码测试」和「将支付宝支付整合到ssm框架」,详细的代码和图文解释,自己实践的时候一定仔细阅读相关文档,话不多说我们开始。# 支付宝测试环境代码测试源代码:https://github.com/OUYANGSIHAI/sihai-maven-ssm-alipay...
2020-02-03 20:10:50
2137
pdf阅读器_福昕
2018-07-03
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人