概念
樱桃小丸丸纸
这个作者很懒,什么都没留下…
展开
-
Webservice、WSDL、SOAP之间的关系-2020-10-21
学习weblogic漏洞的时候遇到了xmldecoder反序列化漏洞,于是研究了一下xml、soap、webservice、WSDL等相关知识,从网上各种搜集+理解+总结如下(部分摘自其他大牛文章)。供参考: Webservice是一种基于Web发布的服务,是一种解决跨平台、跨语言间的应用程序想要相互调用或沟通而设计的技术手段。WSDL+SOAP是webservice这种技术的具体实现。Webservice使用Web(HTTP协议)方式,接收和响应外部系统的某种(xml格式的)soap请求。从而实.原创 2020-10-21 23:31:16 · 940 阅读 · 0 评论 -
XSS跨站(附编码概要小知识点)
跨站利用点:HTML标签:script、img、a、inputHTML标签属性:src、nameJS事件(鼠标、键盘、处理的结果、变化):onresume/onreverse/onrowdelete/onrowinserted/onseek/onsynchrestored<img src=a onerror=alert(444) />CSS样式表:expression绕过方式:空格、换行符伪协议:img src=a onerror="javascript.原创 2020-09-02 11:08:03 · 509 阅读 · 0 评论 -
Nmap 简介及常见使用方法
Nmap主机发现——>端口扫描——>版本探测——>OS探测Nmap提供防火墙和IDS的规避技巧主机发现功能:主机发现有时也叫PING扫描,Nmap的主机发现与PING扫描类似,但是Nmap的主机发现远强于简单意义的PING扫描;主机发现依靠地址解析协议,Nmap首选发送ARP请求;IPv4地址(ARP):IPv6地址(ICMPv6):...原创 2020-04-13 22:01:59 · 361 阅读 · 0 评论 -
运行管理、风险评估、安全协议
BCP(风险评估)BIA(业务影响评估)方法:定量决策和定性决策;BIA(业务影响评估)步骤:·选择单个的人员进行访谈以完成数据收集。·创建数据收集技术方法(调查、问卷、定性和定量方法)。·确定公司的关键业务功能。·确定这些功能依赖的资源。·计算没有这些资源可以生存多久。·确定这些功能的漏洞和所面临的威胁。·计算每个不同业务功能的风险。·将发现结果...原创 2020-04-13 21:58:54 · 234 阅读 · 0 评论 -
SQL注入相关-持续更新
一、sql注入常用函数(理解参见 sql注入总结-51CTO博客) union:用于拼接两个或多个 SELECT 语句的结果集,并消去表中任何重复行;UNION 连接的 SELECT 语句必须拥有相同数量的列,列也必须拥有相似的数据类型。同时,每条 SELECT 语句中的列的顺序必须相同.默认地,UNION 操作符选取不同的值。如果允许重复的值,请使用 UNION ALL。当 AL...原创 2020-04-13 21:53:49 · 185 阅读 · 0 评论 -
消息中间件和交易中间件的概念
一、消息中间件消息中间件利用高效可靠的消息传递机制进行平台无关的数据交流,并基于数据通信来进行分布式系统的集成。通过提供消息传递和消息排队模型,它可以在分布式环境下扩展进程间的通信。只要有网络,就会有数据(数据包,文件)传递,这就会牵扯到数据传输的安全可靠性,网络越是发达对这类要求就越高,消息中间件就会长久生存发展。消息中间件适用于需要可靠的数据传送的分布式环境。采用消息中间件机制的...原创 2019-02-28 19:27:00 · 4434 阅读 · 0 评论 -
各种体系架构图收藏
该技术架构图是本人根据多年企业技术架构经验而制定,是企业技术的总架构图,希望对CTO们有所借鉴。简单说明:1.中间件基础运行环境是经过统一规划的以WebLogic、JBOSS为主的集群环境 2.企业集成平台是以基础业务应用为基础服务于上层平台和基础业务应用的高度集成平台3.数据中心...转载 2019-03-03 11:41:22 · 28613 阅读 · 3 评论 -
JWT(json web token)
例如,我是个盲人,而且听力也不好。你上周帮我买了午餐,现在我需要你的收款账号,把钱还给你。如果我询问你的账号,但是其他人高呼他们的账号,由于我把别人的账号误认为是你的,我可能会不小心把钱打给别人。JWT 旨在防止这种情况发生。JWT 提供了一种简单的方法,在彼此传递数据时,验证是由谁先创建了数据。所以,像上述的例子,即使我收到了超过 100 万个 JWT 返回的账号信息,我也很容易可以辨别...转载 2019-03-03 12:05:32 · 135 阅读 · 0 评论 -
FasterXML jackson-databind远程代码执行漏洞之json技术调研
本文章是对json方面的技术及安全概要总结,部分内容包括转载。一 、各个JSON技术的简介和优劣1.json-libjson-lib最开始的也是应用最广泛的json解析工具,json-lib 不好的地方确实是依赖于很多第三方包,包括commons-beanutils.jar,commons-collections-3.2.jar,commons-lang-2.6.jar,commons-...原创 2019-09-24 10:34:44 · 1107 阅读 · 0 评论