漏洞、安全、’工具
黄宝康
这个作者很懒,什么都没留下…
展开
-
密码基础之加密模式和填充模式
需要了解的知识点:如果使用des进行加密,那么密钥必须是8个字节,AES则是16字节没有填加密模式和填充模式的话,默认是ECB/PKCS5Padding针对NoPadding无填充模式,原文必须是8个字节的整数倍,否则程序执行报错。针对CBC加密模式,在使用iv向量进行加密的时候,iv的字节也必须是8个字节import com.sun.org.apache.xml.internal.security.utils.Base64;import javax.crypto.Cipher;import原创 2021-03-25 11:46:53 · 608 阅读 · 0 评论 -
密码学基础(一)
一个中文,在UTF8编码情况下,一个汉字对应3个字节,对于GBK编码一个汉字对应两个字节而对英文,则都是两个字节。 String a = "黄";// byte[] bytes = a.getBytes();默认UTF-8 byte[] bytes = a.getBytes("GBK"); for (byte aByte : bytes) { System.out.println(aByte); Strin原创 2021-03-24 16:33:03 · 390 阅读 · 0 评论 -
spring security的CSRF功能
默认是开启了spring security 的CSRF功能,如果我们没有配置禁用,Spring Security CSRF 会针对 PATCH,POST,PUT 和 DELETE 方法进行防护。对如下的请求是不防护的可以看到,从request中获取token,所以我们在页面中进行传递,我们可以使用thymeleaf模板引擎 <!--引入thymethef模板引擎--> <dependency> <groupId>org.s原创 2020-12-07 16:07:36 · 1258 阅读 · 0 评论 -
spring security的记住我实现
在上一篇博客中,在自定义的配置类中,增加数据源的注入,增加一个PersistentTokenRepository 的Bean@Autowired private DataSource dataSource; @Autowired private PersistentTokenRepository persistentTokenRepository; @Bean public PersistentTokenRepository persistentTokenRep原创 2020-12-07 10:54:04 · 382 阅读 · 0 评论 -
Spring-security入门
简介可以参考百度百科,简单来说是一个优秀的web安全框架。我们使用IDE新建一个maven工程,引入web 和security依赖我们编写一个控制器,不需要增加任何配置,springboot就完美整合了spring security。源码解析,spring security是由一堆的过滤器组成的,在启动项目的时候,可以在控制台看到。...原创 2020-12-04 17:12:28 · 302 阅读 · 1 评论 -
宝塔centos安装
安装一条命令搞定yum install -y wget && wget -O install.sh http://download.bt.cn/install/install_6.0.sh && sh install.sh其他平台参考如下地址 https://www.bt.cn/bbs/thread-19376-1-1.html安装好后,需要访问后台登录地址,默认是8888端口后面需要带一个随机8位安全字符串,建议使用第一种方式。我虚拟机的ip是192.16原创 2020-06-08 09:38:49 · 451 阅读 · 0 评论 -
mysqlsla慢查询分析工具
什么是mysqlsla?Mysqlsla 是daniel-nichter 用perl 写的一个脚本,专门用于处理分析Mysql的日志而存在。mysqlsla 能解决什么问题?作为一名Mysql DBA,日常工作中处理日志是再正常不过的事情了。 通过Mysql的日志主要分为:General log,slow log,binary log三种。通 过query日志,我们可以分析业务的逻辑,...原创 2020-04-14 16:22:00 · 397 阅读 · 0 评论 -
无法定位程序输入点 xxx于动态链接库 api-ms-win-crt-runtime-l1-1-0.dll上
https://bbs.360.cn/thread-14973210-1-1.html转载 2020-04-02 15:08:44 · 875 阅读 · 0 评论 -
Tomcat幽灵猫漏洞
Apache Tomcat曝出Ghostcat高危文件读取/包含漏洞。Tomcat AJP协议由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行。请大家及时排查。参考链接:https://www.cnvd.org.cn/webinfo/show/5415http://bl...原创 2020-03-13 10:10:59 · 1492 阅读 · 0 评论 -
Xray简单使用
Xray简单使用教程0X00下载xray 为单文件二进制文件,无依赖,也无需安装,下载后直接使用。下载地址为:Github: https://github.com/chaitin/xray/releases (国外速度快)网盘: https://yunpan.360.cn/surl_y3Gu6cugi8u (国内速度快)注意: 不要直接 clone 仓库,xray 并不开源,仓库内不含...转载 2020-03-13 10:09:18 · 13320 阅读 · 0 评论 -
Kali 系统自带字典目录wordlists
路径:/usr/share/wordlists/dirbbig.txt #大的字典small.txt #小的字典catala.txt #项目配置字典common.txt #公共字典euskera.txt #数据目录字典extensions_common.txt #常用文件扩展名字典indexes.txt #首页字典mutations_common.txt #备份扩展名span...转载 2019-12-27 15:27:36 · 3103 阅读 · 0 评论 -
Hydra常用的爆破语句
1、破解ssh: hydra -l 用户名 -p 密码字典 -t 线程 -vV -e ns ip ssh hydra -l 用户名 -p 密码字典 -t 线程 -o save.log -vV ip ssh 2、破解ftp: hydra ip ftp -l 用户名 -P 密码字典 -t 线程(默认16) -vV hydra ip ftp -l 用户名 -P 密码字典 -e ns -vV...转载 2019-12-27 15:14:35 · 756 阅读 · 0 评论 -
SQLMap实验
一、SQLMap简介当给 sqlmap 这么一个 url 的时候,它会:1、判断可注入的参数2、判断可以用那种 SQL 注入技术来注入3、识别出哪种数据库4、根据用户选择,读取哪些数据sqlmap 支持五种不同的注入模式:1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回...原创 2019-12-26 16:51:30 · 1349 阅读 · 0 评论 -
sqlmap的安装
由于SQLMap是利用Python语言写的,所以需要安装python环境python下载地址:https://www.python.org/downloads/傻瓜式安装,下一步下一步即可。打开命令行,输入python,输出类似信息说明python环境安装好了SQLMap下载下载地址:http://sqlmap.org/安装步骤将下载的SQLMAP安装包解压到文件夹sqlmap中,为...原创 2019-12-26 09:55:00 · 359 阅读 · 0 评论