- 博客(13)
- 收藏
- 关注
RSS订阅原创 JAVA代码审计之SQL注入,基于Spring boot和jdbc以及mybatis
本节讲述JavaWeb代码审计中存在SQL注入漏洞的情况。基于spring boot,mysql,两种连接方式:jdbc和mybatis。代码比较多,适合自己创建项目,跟着走一遍,如果只想了解原理,可以忽略代码,只看大概即可。比如Controller类或者sql语句的编写。SQL注入漏洞是对数据库进行的一种攻击方式。其主要形成方式是在数据交互中,前端数据通过后台在对数据库进行操作时,由于没有做好安全防护,导致攻击者将恶意代码拼接到请求参数中,被当做SQL语句的一部分进行执行,最终导致数据库被攻击。
2023-08-02 20:00:34
2156
1
原创 2023 ciscn web部分题解
软链接参考文章构造payload:先构造一个指向/var/www/html的软连接(因为html目录下是web环境,为了后续可以getshell)。利用命令(zip --symlinks test.zip ./*)对test文件进行压缩。此时上传该test.zip解压出里边的文件也是软连接/var/www/html目录下接下来的思路就是想办法构造一个gethsell文件让gethsell文件正好解压在/var/www/html 此时就可以getshell。
2023-05-28 22:12:32
916
原创 2023 宁波天一永安杯初赛web部分wp
先利用data伪协议使a和flag相等,之后c必须是flag,d利用data伪协议读取index.php。read包含h1nt.php,然后input这里传序列后的类。先用php的filter伪协议读出h1nt.php的值。sql注入,注入点在username,盲注。需要在input这里触发clone函数。
2023-05-24 23:06:18
307
原创 [HDCTF 2023]web YamiYami yaml反序列化+session伪造
HDCTF web方向 YamiYami的详细题解,希望能互相学习,喜欢的话可以给个爱心满满的赞。您的赞会给我这个web菜鸡提供创作的动力。
2023-04-23 19:30:46
1415
1
原创 javaScript学习笔记
目录前言一、JavaScript能干什么二、基本要求1.书写位置:外链式 JS 代码(推荐)2.注释:三、语法1、数字类型(Number)2.字符串型(string)3、布尔类型(boolean)4、null(空)5、undefined(未定义)四、运算符1.算术运算符2、比较运算符五、类型转换1.其他数据类型转成数值1、Number(变量)2、parseInt(变量)3、parseFloat(变量)4、除了加法以外的数学运算
2022-02-27 10:51:55
445
原创 CSS学习笔记
文章目录前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结前言CSS(Cascading Style Sheets) 美化样式。提示:以下是本篇文章正文内容,下面案例可供参考一、书写位置外部样式表(外链式)链入式是将所有的样式放在一个或多个以.CSS为扩展名的外部样式表文件中,通过link标签将外部样式表文件链接到HTML文档中,其基本语法格式如下:<head><linkhref="CSS文件...
2022-02-27 09:51:09
112
原创 HTML初学笔记
目录前言一、开始二、标题标签1.标题2.段落标签3.水平线标签4.文本格式化标签5.图片标签:6.列表标签7.表格标签8.表单标签8.1input8.2 select下拉表单元素总结前言html初学笔记,记录刚学习html的基础知识。作为以后参考使用。提示:以下是本篇文章正文内容,下面案例可供参考一、开始用VScode创建html文件,然后打入!号后回车就能生成模板,开始行动!二、标题标签1.标题代码如下(示...
2022-02-24 22:00:35
241
原创 【爬虫入门】利用flask框架和echarts实现数据可视化
利用flask框架并利用echarts可以对所得到的数据进行可视化分析(变成各种图:饼图、折线图等)
2022-02-17 10:45:45
7695
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人