qq_40096118的博客

在16年的时候shiro发布了一个更新说明(SHIRO-550)，该说明指出在默认情况下shiro使用CookieRememberMeManager来序列化cookie中的数据，由于该1.2.4及以前版本使用了默认key完成加密解密用户的cookie数据，导致可触发序列化漏洞。Java中的ObjectOutputStream类的writeObject()方法可以实现序列化，类ObjectinputStream类的readObject()方法用于反序列化。将字节数组反序列化后，重新得到可用的对象。

SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。SSRF漏洞成因为由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容，加载指定地址的图片、下载等等。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统)

XML指可扩展标记语言(EXtensible Markup Language)XML是一种标记语言，很类似 HTMLXML被设计为传输和存储数据，其焦点是数据的内容XML被设计用来结构化、存储以及传输信息XML允许创作者定义自己的标签和自己的文档结构DTD全称为，Document Type Definition，中文翻译为文档类型定义，是一套为了进行程序间的数据交换而建立的关于标记符的语法规则。文档类型定义(DTD)可定义合法的XML文档构建模块。

布尔盲注攻击中，攻击者通过向数据库发送一系列特定的SQL查询，利用应用程序的响应来推断查询结果的真假。例如，攻击者可能会发送一个查询，询问数据库是否返回了预期的结果，然后根据应用程序的响应来判断查询条件是否为真。攻击者通过向应用程序的输入字段（比如登录表单、搜索框等）输入恶意的SQL代码，从而欺骗应用程序执行意外的SQL查询。这种攻击的原理在于，应用程序未对用户输入进行充分验证和过滤，而是直接将用户输入的内容拼接到SQL查询语句中，导致攻击者能够执行恶意的SQL查询，比如修改数据库、获取敏感数据等。

跨站请求伪造（Cross-Site Request Forgery，CSRF），也被称为“One-Click Attack”或“Session Riding”，是一种常见的网络安全攻击方式。它利用了网站对用户已经认证的身份的信任，通过伪造请求来执行未经授权的操作。在一个CSRF攻击中，攻击者会诱使受害者在受信任的网站上执行某些操作，例如点击链接、访问图片或点击恶意广告。而这些操作会触发已登录用户的浏览器向目标网站发送请求，从而执行攻击者所期望的操作，而受害者可能毫不知情。

XSS 攻击通常利用了 Web 应用程序中的不安全输入验证或者过滤机制，允许攻击者将恶意脚本注入到网页中，进而影响其他用户的浏览器执行该脚本。这可能导致恶意脚本偷取用户的会话 Cookie、窃取敏感信息、修改页面内容、重定向到恶意网站等危险行为，甚至利用浏览器漏洞实现更深层次的攻击。恶意脚本作为 URL 参数或表单数据的一部分发送到服务器端，服务器端将恶意脚本反射回给用户，用户的浏览器执行了这些脚本。当其他用户访问包含恶意脚本的页面时，恶意脚本会从服务器端加载并执行，造成危害。

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档。

reGeorg搭建http代理

本人刚刚接触JavaWeb,是菜鸡一枚。不久之前自己学做了一个无框架的Javaweb项目，记录在这里。下面是整个项目的程序。先来看下成果图这里用到了bootstrap的样式，网址是：http://www.bootcss.com。我觉着还挺好看的。接下来开始步入正题，首先：建数据库表，用到的是oracle数据库。表格可以说是相当简单了，有木有。create table STUDENT...