读书笔记
樱桃小丸丸纸
这个作者很懒,什么都没留下…
展开
-
Webservice、WSDL、SOAP之间的关系-2020-10-21
学习weblogic漏洞的时候遇到了xmldecoder反序列化漏洞,于是研究了一下xml、soap、webservice、WSDL等相关知识,从网上各种搜集+理解+总结如下(部分摘自其他大牛文章)。供参考: Webservice是一种基于Web发布的服务,是一种解决跨平台、跨语言间的应用程序想要相互调用或沟通而设计的技术手段。WSDL+SOAP是webservice这种技术的具体实现。Webservice使用Web(HTTP协议)方式,接收和响应外部系统的某种(xml格式的)soap请求。从而实.原创 2020-10-21 23:31:16 · 946 阅读 · 0 评论 -
Weblogic学习之路(一)2020-10-21
为了学习weblogic的相关漏洞,需要先对weblogic有一个基本和整体的了解,主要需要了解它是什么、由什么组成、如何安装、有什么应用场景、有哪些关注点(例如常见敏感路径)。以下是自己从网上各种搜索+理解+总结的内容,供自己温故而知新,也供大家参考:Weblogic简介weblogic是一个收费的web应用服务器,可以用来部署大型应用。10.3.6的下载地址https://download.oracle.com/otn/nt/middleware/11g/wls/1036/wls1036_ge原创 2020-10-21 23:22:04 · 860 阅读 · 0 评论 -
《Web前端黑客技术揭秘》第二章前端基础读书笔记
一、URL格式定义及详解http://attacker.com/path/info.html?id=1&type=cool#new协议名://服务器位置/网页文件在服务器中的位置路径?键值对1&键值对2#函数名二、location.hash简介及用法:一般情况下为URL后 "#" 及其后面一部分组成,如http://www.test.com/#/something,...原创 2019-09-24 10:34:12 · 199 阅读 · 0 评论 -
《Web黑客技术揭密》第六章-漏洞挖掘笔记-结合白帽子讲web安全
CSRF漏洞挖掘需要确认以下信息: 目标表单是否有有效的token随机串 目标表单是否有验证码 目标是否判断了Referer来源 根目录下 crossdoman.xml的 allow-access-from domain 是否是通配符 目标JSON是否可以自定义callback等 界面劫持漏洞挖掘需要确认以下信息: 目标HTTP响应头是否设置了X-Frame-...原创 2019-02-20 21:02:33 · 404 阅读 · 0 评论 -
《Web前端黑客技术解密》读书笔记-第二章 URL、URL编码等相关知识点记
整本书的笔记参考详细https://blog.csdn.net/qq_40676758/article/details/80081697(第二章读书笔记)https://www.cnblogs.com/r00tgrok/articles/Web-Hacking.html粗略https://segmentfault.com/a/11900000164990732.2 U...原创 2019-02-20 00:15:13 · 145 阅读 · 0 评论 -
《Web前端黑客技术解密》读书笔记-第二章 HTTP协议相关知识点记录
2.3HTTP协议参考“HTTP最强资料大全” https://segmentfault.com/a/1190000008900299 一、HTTP协议的方法HTTP 协议的请求方法有:GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、CONNECT、PATCH、HEADHTTP 常用的请求方法:GET - 获取资源,使用 URL 方式传递参数,...原创 2019-02-20 00:25:59 · 126 阅读 · 0 评论 -
《Web前端黑客技术解密》读书笔记-第二章 cookie安全相关知识点记录
2.5.4 cookie安全(《web前端黑客技术解密》P40)一、cookie简记:(一)、浏览器允许每个域名所包含的cookie数: Microsoft指出InternetExplorer8增加cookie限制为每个域名50个,但IE7似乎也允许每个域名50个cookie。 Firefox每个域名cookie限制为50个。 Opera每个域名cookie限制为30个。...原创 2019-02-20 00:25:40 · 156 阅读 · 0 评论 -
《Web前端黑客技术解密》读书笔记-第二章 浏览器同源策略相关知识点记录
2.4 浏览器同源策略1、在浏览器中,<script>、<img>、<iframe>、<link>等标签的src属性都可以跨域加载资源,带src属性的标签每次加载的时候都会由浏览器发起一次GET请求,这些通过src加载的资源,浏览器限制了JavaScript的权限(无法读/写返回的内容,记住这一点和XMLHttpRequest不同,XHR可以读/...原创 2019-02-20 00:25:24 · 110 阅读 · 0 评论 -
《Web前端黑客技术解密》读书笔记-第二章 代码混淆相关知识点记录
2.5.6 E4X(ECMAScript For XML)混淆代码:利用E4X技术可以混淆JavaScript代码(《web前端黑客技术解密》P48)参考http://www.thespanner.co.uk/?s=e4x1)将XML数据放到脚本中alert(<foo>hi</foo>);//弹出hi2)将脚本放到XML数据中x=<>{ale...原创 2019-02-20 00:25:07 · 163 阅读 · 0 评论 -
python自动化运维第三天
进程pid——>线程一个进程包括多个线程,每个线程代表一条控制流,共享全局进程空间的变量,同时又有自己私有的内存空间。所谓的多线程并行其实是伪并行,它实际上是让多个线程在极端的时间间隔交替执行,从人的角度看就像同时进行一样。真正的并行只能在多核架构(多CPU)中实现。线程没有退出时进程也无法退出,进程共享线程的内存python中用于操作多线程的模块是threading,可以imp...原创 2019-02-22 11:08:00 · 183 阅读 · 0 评论 -
python3的函数编程简介及基本语法介绍
列表是可变的,元祖是不可变的。函数体内定义的变量不允许在函数体以外调用,所以,函数里需要用到的变量需定义在函数外部。 举例说明:用户输入URL(www.baidu.com)——>访问到视图VIEW(buy_function函数)——>后台数据库DB取数据——>用locals()将函数里的东西拿出来(将后台取出的数据¥50)填充模版,即返回字典型局部变量参数类型...原创 2019-02-22 11:05:48 · 205 阅读 · 0 评论