- 博客(54)
- 收藏
- 关注
RSS订阅
原创 文件上传之Webshell连接方法
Webshell就是以asp.php.jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称为一种网页木马后门,攻击者可以通过这种网页后门获得网站服务器操作权限,控制网站服务器以进行上传下载文件, 查看数据库执行命令 通过服务器开放的端口获取服务器的某些权限。往目标网站中上传一句话木马,然后你就可以在本地通过Shell管理工具连接即可获取和控制整个网站目录。
2023-04-19 15:21:15
7590
原创 java实现学生投票系统
以上就是完成投票系统的全部代码,花费一个晚自习的时间,还是有难点的,但是我完成此功能利用到的知识点不是很多,只有封装get和set构造方法来传递数据,整体的逻辑为 数组定义10个值为学生的姓名, 利用for循环搭配 Scanner键盘录入,遍历数组的长度,每次来确定投票给谁,给出三个“班干部”,接收输入来对票数进行统计........,循环结束是没错,结束了就可以统计,但是这是正常的结束才可以这样做,但程序中还存在强制退出的功能点,如果写在下方的话那么就不满足10次,10次不到可能就会执行。
2023-04-11 16:30:14
6643
2
原创 java实现银行存取款
功能的点只有存钱 + 取钱 .但在实际开发中肯定要考虑代码安全.要对金额取出有限制及不能出现负数或者其他字符的情况.当然这种小小练习是不用考虑,只管练手就是了。
2023-04-11 15:08:55
6810
1
原创 Java实现查看手机配置与功能
案例上的小练习,实现功能并不难,用到了有参构造器和if判断输入简单的面向对象.相信看过之后对初学者肯定有帮助
2023-04-10 20:30:04
3367
1
原创 软件测试PO模式
找到登录的文本,执行点击操作,这里我方便演示就没有执行, 然后执行 梦开始的地方,**第一步把需要的值传递进去,需要几个地方写值就传递几个,但是每增加一个值,在定位处还有别的查找元素方法就需要多增加一条数据,**这里只写值,传递到。缩写,是自动化测试项目开发实践的最佳设计模式之一,核心思想是通过对界面元素的封装减少多余代码,并且后期维护 若元素发生变化 只需要调整页面元素封装的代码 提高测试用例的可维护性 可读。结果发现是先执行清空再添加,值,到这里 第3步执行完成,去**login****_**
2024-11-07 17:19:57
932
原创 Object 内部类 异常
介绍了Java编程语言中的几个关键概念:Object类、内部类(包括成员内部类、局部内部类、静态内部类和匿名内部类)、以及异常处理。首先,Object类是所有类的直接或间接父类,包含了基本的equals、hashCode和toString方法
2024-11-05 21:19:05
1008
原创 String字符串 Random数字运算
介绍了Java编程语言中处理字符串的基本操作,包括String类的初始化、获取字符串信息、转换操作、替换和去除空格、判断操作、截取和分割以及使用StringBuilder类进行增删改查。首先,介绍了通过字符串常量和构造方法对String类进行初始化的两种方式。接着,详细讨论了如何使用Java提供的方法对字符串进行获取长度、获取特定位置字符、转换为字符数组、大小写转换、替换和去除空格、判断字符串特征等操作
2024-11-05 21:14:57
967
原创 I - O (输入-输出) 字节流 字符流 缓冲流
本文档介绍了Java中的File类及其用途、相关的读写方式、以及如何利用File类执行常见的文件和目录操作,例如创建、删除、重命名文件和判断文件是否存在等。File类是Java中用于代表磁盘文件的唯一对象,提供了丰富的操作文件和目录的方法
2024-11-05 21:10:19
925
原创 Xss_less靶场攻略(1-18)
介绍了XSS-LAB环境下的多个安全挑战(Level 1-18),每个挑战都涉及到如何在特定条件下实施跨站脚本攻击(XSS)。文档详细描述了各种攻击方法,包括但不限于利用特殊字符转义、img标签懒加载、a标签中的JavaScript执行、“”和“’”字符的使用技巧、以及针对不同HTML元素和属性的XSS注入策略。同时,还探讨了服务器端的防御措施,如使用htmlspecialchars函数进行转义,并尝试了多种编码和绕过技术来避开这些防御。
2024-10-30 16:03:44
527
原创 任意文件下载
网站提供文件下载功能,用户点击链接即可下载对应的文件,如果文件下载功能设计不当,攻击者可以通过构造文件路径 从而获取到后台服务器上的其他敏感文件 俗称任意文件下载,有时候我们不知道网站路径,还有环境只能通过../来逐层猜测路径,
2024-10-30 15:53:06
591
1
原创 目录遍历漏洞
目录遍历与任意文件下载其实差不多,但是如果目录遍历比如etc/passwd只能看不能下载那只是能遍历,如果是在下载的接口输入etc/passwd那么就输入任意文件下载了,二者或许会一起出现又能看又能下
2024-10-30 15:50:25
1358
原创 SSRF服务端请求伪造
全面介绍了服务端请求伪造(SSRF)漏洞及其相关概念、形成原因、危害、检测方法和利用技巧。首先,解释了什么是SSRF,即攻击者通过构造恶意请求,迫使服务器代表攻击者而非正常用户向其他服务器发起请求的漏洞。此漏洞通常允许攻击者访问到原本不可见的内部网络资源,从而造成潜在的安全威胁。
2024-10-29 16:47:28
865
原创 XXE 漏洞
介绍了XML外部实体注入(XXE)漏洞及其潜在危害,包括但不限于文件读取、系统命令执行、拒绝服务攻击等。该漏洞主要发生在允许引用外部实体的XML环境中,攻击者可通过构造恶意内容来触发,进而实施攻击。文章还详细讨论了如何通过编程语言内置的XML解析函数或第三方库来防止此类漏洞,以及针对已发现漏洞的修补方法。
2024-10-29 16:34:51
746
原创 URL重定向漏洞
介绍了URL重定向漏洞的概念、产生原因、检测与利用方式,以及如何通过多种手段来防范和修复这一漏洞。URL重定向漏洞,亦称为URL任意跳转漏洞,出现在服务端未能对用户输入的URL参数进行有效检查和控制的情形下,攻击者可通过构造恶意URL,诱使用户浏览器转向任意指定网址,进而实施钓鱼等网络攻击。
2024-10-29 16:29:55
1191
原创 未授权访问漏洞
探讨了未授权访问漏洞的概念及其分类,强调了该漏洞类型在网络安全中的重要性。未授权访问漏洞指的是攻击者在未经认证或授权的情况下,能够访问到特定的系统或应用功能。这种漏洞不仅包括可以直接访问的URL,还包括可以通过操作cookie或使用特定参数(如user_id)来间接访问的漏洞。
2024-10-29 16:26:13
1268
原创 文件上传漏洞
探讨了文件上传漏洞的概念、成因、利用条件、绕过机制及其在实际应用中的防御措施。文件上传漏洞主要发生在用户通过Web界面上传可执行文件时,由于服务器端未进行充分的安全检测或逻辑错误,使得攻击者能够上传恶意代码(如PHP、ASP、JSP等),进而实现对服务器的控制。漏洞产生的原因主要包括服务器配置不当、开源编辑器存在的上传漏洞、本地文件上传限制规避、过滤不严、文件解析漏洞以及文件路径截断等。
2024-10-25 10:24:20
1220
原创 CSRF 点击劫持
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而**CSRF则通过伪装成受信任用户请求受信任的网站。简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。它的危害是修改用户信息,并且执行恶意操作。
2024-10-25 10:09:14
607
原创 Redis未授权访问及配合SSRF总结
Redis是一个开源的内存数据库,它用于存储数据,并提供高性能、可扩展性和丰富的数据结构支持。默认情况下,会绑定在,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等,这样将会将Redis服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问Redis的情况下,利用Redis自身的提供的config命令,可以进行写文件操作,并且写公匙登录。
2024-10-24 12:18:57
1357
原创 蓝队TOP10漏洞及0day处理研判分析
每一种攻击行为都会有攻击结果,判断是否攻击成功3个方面:其实只需要关注具体传输内容和请求路径、请求方式就可以了,普通的漏洞存在就上报然后会下线,然后开发会修复漏洞 负测继续上线,单纯攻击并没有打进 封禁就可以了
2024-10-24 09:40:32
721
原创 Weblogic漏洞复现
WebLogic是美国公司出品的一个应用程序服务,基于JAVAEE的中间件,用于开发、集成、部署和管理大型分布式Web应用,默认端口7001。
2024-10-23 17:33:34
665
原创 封装 构造 静态
本文为初学者提供了Java面向对象编程的基本概念框架,涵盖了类、对象、内存管理和封装等方面的内容,有助于读者更好地理解和运用Java语言。
2024-10-23 15:26:49
583
原创 继承 super 抽象 接口 多态
本文介绍了面向对象编程中的类继承、方法重写、访问修饰符(如public、private等)、以及抽象类和接口的相关概念。类的继承允许基于现有类创建新类(称为子类),子类可以使用父类的公共属性和方法。Java仅支持单继承,即一个类只能有一个直接父类,但可以通过多重继承间接地实现多个父类的功能。方法重写允许子类覆盖或改变从父类继承的方法,但需保持相同的签名。访问修饰符用于控制类、方法和变量的可见性和访问权限
2024-10-23 15:12:58
722
原创 Java 泛型 Lambda 表达式
泛型是程序设计的一种特性 ,它允许强类型程序语言设计代码定义一些可以变的部分,编程中用泛型来代替某个实际的类型,而后通过实际调用传入的类型对泛型进行替换,达到代码复用的目的
2024-10-22 15:45:25
995
原创 土豆家族提权
令牌(Token)是指系统中的临时密钥,相当于账户和密码,用于决定是否允许当前请求及判断当前请求是属于哪个用户的,有了令牌就可以在不需要密码的情况下访问,伪造令牌攻击的核心是Kerheros协议, 是一种网络认证协议,它的最大特点是随机性和不可预测性正常是无法猜解而出,生成的令牌将持续存在干系统中(除非系统重新启动)土豆家族提权原理实际上是模拟高权限用户令牌。
2024-10-21 20:43:40
1185
原创 ApacheShiro反序列化 550 721漏洞
Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理个漏洞被称为Shiro550是因为在问题跟踪器中,该漏洞最初被标记为第550个问题,721漏洞名称也是由此而来。
2024-10-17 17:27:08
1283
原创 MongoDB未授权访问
MongoDB)是一种流行的开源文档数据库管理系统(DBMS),基于分布式文件存储的数据库属于NoSQL数据库的一种。开启服务时不添加任何参数时,默认是没有权限验证的 登录的用户可以通过默认端口27017无需密码对数据库任意操作(增、删、改、查高危动作)而且可以远程访问数据库。
2024-10-17 17:14:17
594
原创 Jboss未授权 CVE-2017-7504
JBOSS是一个基于J2EE的开放源代码应用服务器,也是一个管理EJB的容器和服务器,默认使用8080端口监听
2024-10-17 17:10:29
356
原创 日期时间类 包装类
介绍了Java编程语言中处理日期时间的API,重点讲解了java.time包下的几个核心类:LocalDate、LocalTime、Instant、Duration和Period。每个类都有其特定的功能和用途
2024-10-16 17:09:47
786
原创 Map 双列集合根接口 HashMap TreeMap
介绍了Java编程中Map接口及其常见实现类的功能、特性及使用方法。Map接口是一个双列集合,其中每个元素由一个Key对象和一个Value对象组成,它们之间存在一对一的映射关系。常见的Map实现类包括HashMap、LinkedHashMap和TreeMap等
2024-10-16 17:04:16
903
原创 Collection 单列集合 List Set
介绍了Java集合框架的基础知识,重点讲解了Collection和Map两种主要的集合类型以及它们的子接口(如List和Set)和实现类(例如ArrayList和HashSet)。文章详细阐述了单列集合(Collection)和双列集合(Map)的特点、用途及其操作方法。特别指出了集合框架中的核心接口(如List、Set)及其常见实现类的功能与用法,并通过示例代码展示了如何使用这些集合类型进行数据的存储、遍历以及修改
2024-10-16 16:57:11
925
原创 Java环境变量配置及源文件命名规则
介绍了环境变量配置、Java程序的源文件及编译的基本知识,并通过具体的步骤说明了如何正确地配置Java环境变量 及其新手学习Java容易犯错的问题
2024-10-16 16:53:23
872
原创 Java实现系统注册验证
进行系统注册时通常需要输入用户名和密码,其中用户名要求由8个字母字符组成、密码由6个 (含6) 以上数字字符组成。满足要求,则提示“注册成功”,否则根据实际情况提示“**不符合要求”(**为用户名或密码)
2024-10-16 16:49:41
468
原创 JWT认证原理
介绍了JWT(JSON Web Token)的基本概念、认证原理及其在网络安全方面的应用。JWT是一种用于在网络中安全地传递信息的开发标准,特别适用于身份认证和授权场景。它的核心在于将用户的个人信息加密存储在一个Token中,这个Token包含了用户的身份验证信息,而服务器并不直接保存用户的原始信息,仅需保留加密所需的密钥信息
2024-10-16 16:41:09
391
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人