security
1
jwolf2
华山论剑
展开
-
mybatis-plus为什么controller不能直接用生成的entity接收入参
抛开规范谈安全,示例代码使用mybatis-plus自动生成的userService.updateById(user),前端传参都会封装到user里,所有非空自动都会更新到DB,如果user表有user_money等关键字段,被内行发现了,通过api工具绕过前端直接请求,则user_money会被更新。。。 @PutMapping("/update") public ResultEntity<User> updateUserInfo(@RequestBody User user...原创 2020-12-23 18:12:53 · 650 阅读 · 3 评论 -
基本文件上传漏洞攻击实验
1.实验准备:卸掉我windows的360安全卫士等毒杀,下载中国菜刀。肉鸡:阿里云测试环境2.实验大致步骤:编写php等一句话木马(<?php @eval($_POST['chopper']);?>),上传php脚本或直接写到服务器目录,使用菜刀连接。详细参考3.实验结果:菜刀连接失败,之前能访问的测试环境网址在尝试菜刀连接后已无法访问,但是能ping通,打开windows 的git bash尝试curl 访问依然失败,但是服务器curl是成功的。使用手机访问测试环境网站是可以的(原创 2020-06-09 23:35:35 · 1377 阅读 · 0 评论