- 博客(5)
- 资源 (5)
- 收藏
- 关注
转载 XXE攻击指南
现在许多不同的客户端技术,如web端,移动端,云端等使用XML向业务应用程序发送消息。为了使应用程序使用这些自定义的XML消息,应用程序必须去解析XML文档并检查格式是否正确。 本文将描述XML外部实体(XXE)注入攻击及其基础知识,以便更好地了解如何攻击以及如何处理。 既然我们将谈论XXE注入,那么首先我们应该了解外部实体的含义以及实现的内容。 外部实体是指XML处理器必须解析
2017-06-30 14:48:06 3542
原创 面试问题
最近面试了几家互联网公司,发现他们的问题大同小异。发现陌陌的面试官最牛,能把他所有提出的问题进行解答,佩服至深。不定期修改。 1、SQL注入 group by、order by等语句绕过预编译原理,方法。 2、SQL语句预编译原理 3、SQL注入防御手段 3、SSRF的场景与原理、防御手段 4、XSS防御手段,根据不同解析场景的防御手段(可参考宜人贷src文章) 5、XS
2017-06-30 12:12:15 466
转载 WAF绕过参考资料
转自 Seay大神博客 最近一直被杂事所扰,没空写博客及分享东西,转点其它站点的优秀文章给大家学习一下吧。 WAF测试工具: lightbulb – 全面检测WAF bypasses:https://github.com/lightbulb-framework/lightbulb-framework OWASP Xenotix XSS 漏洞利用框架 – 有很多waf-byp
2017-06-30 11:43:03 385
转载 Linux下 XordDos(BillGates)木马查杀记录
最近朋友的一台服务器突然网络异常,cpu占用率暴表,登录上去一查,cpu占用300% 左右,流量异常,经过看查进程,获取信息最终确认为中了dos木马,经过几天的研究,基本上已经清除,以下是清理记录。 一、现象 1、CPU占用超高。 2、网络流量异常。 3、对外ddos攻击 4、服务器卡顿。 二、文件异常 1、系统主要命令文件被替换: ps,netst
2017-06-30 11:41:20 5729
转载 mybatis的#{}和${}的区别以及order by注入问题(转录)
原文链接:http://www.cnblogs.com/chyu/p/4389701.html 前言略,直奔主题.. #{}相当于jdbc中的preparedstatement ${}是输出变量的值 你可能说不明所以,不要紧我们看2段代码: String sql = "select * from admin_domain_location order
2017-06-29 17:10:04 589
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人