- 博客(11)
- 收藏
- 关注
RSS订阅原创 XML所引起的xss攻击
利用条件:1、满足同源策略test.jpg<?xml version="1.0" encoding="iso-8859-1"?><xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform"><xsl:template match="/"><ht...
2019-10-15 09:41:41
4655
1
原创 XXE漏洞利用
英文全名即 Xml External Entity Injection, 即我们所说的 xml 外部实体注入攻击。实体可以通过预定义在文档中被调用,而实体的标识符又可以访问本地或者远程内容,当允许引用外部实体时,攻击者便可以构造恶意内容来达到攻击。XML:xml 是一种可扩展的标记语言,主要就是用来传输数据的,你可以理解为就是一种写法类似于 html 语言的数据格式文档。但是 xml 跟...
2019-10-14 21:28:52
445
1
原创 UEditor 1.4.3.3的SSRF漏洞
产生漏洞的代码片段: ueditor\php\Uploader.class.phpprivate function saveRemote(){ $imgUrl = htmlspecialchars($this->fileField); $imgUrl = str_replace("&", "&", $imgUrl); //http开头验证...
2019-10-12 22:59:02
5587
原创 django上传图片功能
1、实现后台管理页面上传功能2、实现自定义上传文件功能后台管理页面上传功能1、新建模型类class PicTest(models.Model): goods_pic = models.ImageField(upload_to='booktest')2、创建相应的保存文件夹settings.py目录中创建文件夹,用于存储上传文件,并且在static目录下创建一个media的...
2019-10-05 14:29:01
1046
原创 django 中间件
反正感觉有点复杂 硬着头皮吧!!!中间件函数是django框架给我们预留的函数接口,让我们可以干预请求和应答的过程。想要实现的需求:指定某个ip无法访问自己搭建的站点使用request对象的META属性:request.META['REMOTE_ADDR']通过装饰器去实现:Block_ip_lists = ['172.30.212.210']def to_block(func...
2019-10-04 20:51:40
148
原创 django 反向解析
反向解析: 当某一个url配置的地址发生变化时,页面上使用反向解析生成地址的位置不需要发生变化。比如:我们在视图函数中定义的index视图函数为如下:def index(request): return render(request, 'booktest/index.html')我们的urls.py路由文件定义如下:url(r'^index$', views.index),现...
2019-10-04 18:20:28
159
原创 django 验证码的应用
验证码的应用:1、减少暴力破解的概率 从而可能减少服务器后端的压力,节省资源1、 模块Pillow我们直接安装pip install Pillow(1-day) C:\Users\dell\Desktop\ALL\python\django\test4>pip install PillowCollecting Pillow Downloading https://files....
2019-10-04 15:50:25
267
原创 django 模板
模板的学习使用模板文件:流程: 1.加载模板文件 2.定义模板上下文 3.模板渲染1.加载模板文件:我们需要导入loader类,通过这个来加载我们的模板文件from django.template import loader2.定义模板上下文:我们需要导入RequestContext类来定义模板上下文from django.template import Reques...
2019-10-03 16:02:36
168
原创 django 静态文件的设置引入
1、工程目录的文件夹创建:(1-day) C:\Users\dell\Desktop\ALL\python\django\test3>tree卷 OS 的文件夹 PATH 列表卷序列号为 6AEE-CCADC:.├─.idea├─booktest│ ├─migrations│ │ └─__pycache__│ └─__pycache__├─static│ ├─...
2019-10-01 18:25:40
288
原创 django 两种登陆案例的简单实现
login.html模板文件定义如下:<form action="/login_check" method="post"> <label>用户名:<input type="text" name="username"></label><br> <label>用户名:<input type="passwor...
2019-10-01 15:32:39
327
原创 django 模型管理器对象
正常的实例化一个模型bookinfo类from booktest.models import BookInfo>>> BookInfo.objects.all()[<BookInfo: BookInfo object>, <BookInfo: BookInfo object>]这里objects是一个django自动生成的模型管理器对象,我们同样...
2019-10-01 10:55:12
238
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人