自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

原创 tomcat显示aq.executeQuery:Access denied for user 'root'@'localhost' (using password: YES)的解决办法

部署了webapp后,若访问页面后,在tomcat控制台出现aq.executeQuery:Access denied for user 'root'@'localhost' (using password: YES)的提示,排除账号密码没有错误,那可能就是...

2019-12-24 13:07:43 108 0

原创 Spring框架搭建(入门级别)

环境准备: Eclipse 1、新建项目:File--New--Dynamic Web Project: 新建的项目后为: 2、导入jar包:下载spring的jar包以及common-log.jar包 下载方法:spring的jar包:链接:https://pan.baidu....

2019-12-12 09:51:08 25 0

原创 win10下java安装以及环境配置

我用的JDK1.13,下载地址:https://www.oracle.com/technetwork/java/javase/downloads/jdk13-downloads-5672538.html 选择最下面的window x64进行下载,下载到本地后点击运行: 之后傻瓜安装一直...

2019-11-14 11:15:32 35 0

原创 解决eclipse没有(添加)”Dynamic Web Project”选项的方法

1、为当前的eclipse安装Java EE开发插件。 Help->Insatall New Software:在改页面输入http://download.eclipse.org/releases/kepler 如下所示, 然后一直next,等待安装完成后重启就OK了。重启后在Fi...

2019-09-05 17:46:32 1462 2

转载 运维安全之Apache(CGI&SSI&.htaccess)安全隐患

Apache默认配置支持解析CGI (Common Gateway Interface) (仅cgi-bin目录),不解析SSI(Server Side Includes)和.htaccess。当配置不当时,可能导致系统命令执行。本文由腾讯安全应急响应中心的Mark4z5同学通过实验来探讨开启解析...

2019-05-07 16:51:20 200 0

转载 Apache Windows下Apache安装步骤

1.apache官网下载Apache HTTP Server服务器 我相信有些朋友刚用apache服务器时,都希望从官网上下载,而面对着官网上众多的项目和镜像以及目录,也许有点茫然。下面是具体步骤: ①、打开apache官网http://httpd.apache.org/ (或百度&quo...

2019-05-07 12:25:56 345 0

转载 Linux操作系统各版本ISO镜像下载【转载】

https://blog.51cto.com/sf1314/2096580

2019-04-30 16:28:01 6320 0

转载 json.stringify()和json.parse()

json.stringfy()将对象、数组转换成字符串;json.parse()将字符串转成json对象。json.stringfy():语法:   JSON.stringify(value [, replacer] [, space]) value:是必选字段。就是你输入的对象,比如数组,类等。...

2018-07-09 16:38:54 1964 0

转载 [转]浅谈@RequestMapping @ResponseBody 和 @RequestBody 注解的用法与区别

1.@RequestMapping国际惯例先介绍什么是@RequestMapping,@RequestMapping 是一个用来处理请求地址映射的注解,可用于类或方法上。用于类上,表示类中的所有响应请求的方法都是以该地址作为父路径;用于方法上,表示在类的父路径下追加方法上注解中的地址将会访问到该方...

2018-07-09 16:37:38 101 0

转载 Insecure Randomness引发对随机数生成器抵挡加密攻击的方法

一、由nextInt()实施的随机数生成器不能抵挡加密攻击1、不安全的随机数:电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。2、PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG...

2018-04-16 11:51:09 3767 0

转载 Fortofy扫描漏洞解决方案

Fortofy扫描漏洞解决方案:Log Forging漏洞:数据从一个不可信赖的数据源进入应用程序。 在这种情况下,数据经由CreditCompanyController.java 的第 53行进入 getParameter()。 2. 数据写入到应用程序或系统日志文件中。 这种情况下,数据通过C...

2018-04-12 16:30:39 4850 1

原创 等级保护三级一篇写的比较好的应用系统安全测评方法

参考: https://wenku.baidu.com/view/e3b97357c1c708a1294a445a.html

2017-06-23 17:32:21 4667 0

转载 信息安全从业参考

信息安全从业的几个分类: [漏洞挖掘/安全技术研究员] 研究对象:OS,网络,应用,通讯媒介及协议的安全漏洞和防御方法,偏重于底层技术,对技术要求最高,但不要求很全面,只需精通一两种流行的平台即可。其研究成果经常为IDS/IPS/Vulnerability Scanner插件作分析等,最新...

2017-04-17 17:49:13 921 0

原创 应用系统安全管理

应用系统的安全管理 1 身份鉴别 1.1 应用系统采用专用的登录控制模块

2017-04-05 17:12:22 7783 0

原创 Centos安装jre-8u121-linux-x64.tar.gz

1:在java官网下载,本文我下载的是jre-8u121-linux-x64.tar.gz(在Home文件下); 2:通过xftp将其传输至usr/java文件下。(注意最好使用root权限进行以下所有操作) mv  /home/jre-8u121-linux-x64.tar.gz  /usr...

2017-02-13 14:57:39 4812 0

转载 移动APP安全测试要点

移动APP安全测试要点 上次《 运营商渗透测试与挑战》中提到,随着运营商新技术新业务的发展,运营商集团层面对安全的要求有所变化,渗透测试工作将会面临内容安全、计费安全、客户信息安全、业务逻辑及APP等方面的挑战。随着运营商自主开发的移动APP越来越多,这些APP可能并不会通过应用市场审核及发...

2017-02-09 17:08:23 2489 0

转载 运营商渗透测试与挑战

最近几年,运营商行业安全服务中渗透测试中常见的漏洞包括弱口令、注入漏洞、跨站漏洞、Struts2命令执行漏洞、WebServer远程部署及上传漏洞等,但随着新技术、新业务出现和运营商集团层面的关注重点有所转移,渗透测试工作将会面临内容安全、计费安全、客户信息安全、业务逻辑及APP等方面的挑战,这就...

2017-02-09 16:44:42 327 0

转载 高防IP原理

高防IP原理介绍:

2017-01-10 14:49:12 3986 1

转载 详解云安全“红宝书”——“云安全等保合规”

《信息安全技术 信息系统安全等级保护 第二分册 云计算安全技术要求》(下文简称“云安全等保合规”)是由公安部发布的国家级安全标准文件,此标准是在国内参照执行度最高的安全标准。“云计算安全技术要求”分册针对云计算信息系统的特点,提出了云计算信息系统安全等级保护的安全要求(其范围暂不包括云存储、云桌面...

2017-01-05 19:29:44 3741 0

转载 CSRF的详细介绍与token的分析

CSRF的攻击与防御 CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 1、CS...

2016-11-23 10:18:33 3297 0

转载 Burp Suite抓HTTPS数据包

Burp Suite抓HTTPS数据包(通用) 测试环境 [+] JDK1.8.0_40 [+] Burp Suite 1.6.17 下载地址: [+] JDK [+] Burp Suite 1.6.17 一、burp介绍 请自行参阅https://portswigger.ne...

2016-11-14 11:14:24 1552 0

转载 DIV+CSS中标签dl dt dd常用的用法

http://smallpig301.blog.163.com/blog/static/9986093201010262499229/

2016-11-10 16:26:01 357 0

转载 使用 Spring Security 保护 Web 应用的安全

安全一直是 Web 应用开发中非常重要的一个方面。从安全的角度来说,需要考虑用户认证和授权两个方面。为 Web 应用增加安全方面的能力并非一件简单的事情,需要考虑不同的认证和授权机制。Spring Security 为使用 Spring 框架的 Web 应用提供了良好的支持。本文将详细介绍如何使用...

2016-11-08 15:30:39 1004 0

原创 服务器部署javaweb开发项目

1. 我的环境所需的软件:(当然还包括你的war文件包以及sql文件) mysql我这里找的是免安装版本,原因在于我的服务器是不能连外网的,因此无法下载.msi安装包,如果你可以联网,就可以直接下载.msi包,相关的环境都可以下载好。(这里就是因为我的mysql是免安装版本,所以后面的问题和解...

2016-08-08 16:30:01 289 0

原创 session验证并跳转至登录页面的总结

在javaweb项目中,为了更好的保证jsp页面能够在用户登录的情况下才能访问,而用户在未登录的情况下即使知道了某些特定页面的url也无法查看,实现用户授权访问,而防止非授权用户访问的情形,这里将自己在实现过程中查找的资料以及自己的实现过程记录在此。 基于安全考虑,通过session验证来空值页...

2016-07-20 14:22:40 22016 0

转载 常用加密算法的Java实现(一)

常用加密算法的Java实现(一) http://www.blogjava.net/amigoxie/archive/2014/06/01/414299.html 觉得写得不错,转载过来

2016-07-19 16:49:46 291 0

原创 js的正则表达式过滤非法字符

在录入数据时,因要对一些记录提示必须输入,通过alert提示其必须输入的记录,但这样会出现对非法字符过滤不严,导致XSS。 如该记录“”名称“必须填写,否则无法提交,那么我在js中通过以下函数实现其必须填写该名称,为了过滤一些非法字符,可以通过js的正则表达式来实现,如下所示:当输入的内容包含有...

2016-07-19 16:40:29 11044 0

原创 antisamy的配置以及使用实现XSS防御

一、antisamy介绍: 二、所需的相关文件: 三、antisamy在eclipse的配置      maven的使用: 整体截图: pom.xml代码: 4.0.0 webTest webTest 0.0.1-SNAPSHOT war src ...

2016-07-07 09:18:19 7984 0

原创 实现管理系统过程中遇到的问题

错误1. org.hibernate.MappingException: Could not determine type for: String, at table: information, for columns: [org.hibernate.mapping.Column(delayca...

2016-07-07 09:15:39 1445 0

原创 Mysql数据库各查询整理

因工作中要做一个信息管理系统,在这期间,用到了很多的mysql数据库查询语句,好记性不如烂笔头,为了方便查找,整理在此,也不用我每次都百度一遍了,所有的语句都经过我亲自验证,哈哈 查找一周内的数据: select * from test【表名】 where DATE_SUB(CURDATE(),...

2016-07-07 09:02:36 254 0

原创 mysql ”Invalid use of null value“ 解决方法

1.问题描述 mysql 给表已存的’编号‘列设置为not null,保存时报错Invalid use of NULL value。 2.错误原因 因为已存在的数据的‘编号’列为null,与not null的设置冲突。 3.解决办法 1)添加新列,设置列的结构属性。 2)将出错的列...

2016-07-06 15:26:42 30989 1

原创 java date实现加一天代码,其他天数的一次类推

import java.text.Format; import java.text.SimpleDateFormat; import java.util.Calendar; import java.util.Date; public class $ { public static ...

2016-07-06 15:08:44 67321 2

原创 jsp中插入时间控件

因工作需要,要实现数据库筛选功能,对于时间的筛选通过控件进行加载,具体方法如下: 1.下载My97DatePicker项目包 下载地址为:http://www.my97.net/dp/down.asp 2.强该项目包解压后加载到WebRoot的Js文件夹下,加载方法:Js->Import-...

2016-06-17 10:29:14 16493 2

转载 腾讯视频怎么转成MP4格式

我们首先将我们要下载的视频在线完全播放一遍,完成他的缓存。不得不说,前后的广告太讨厌了,不过我们转换后,这些广告就全没有了。 2 之后我们在软件的右上角点那向下的箭头,点“设置”。 3 弹出“设置”的对话框,我们找到那缓存的目录地址。我们将其...

2016-06-14 11:23:42 6477 0

转载 Tomcat7.0安装配置

很久没有通过博客对学习所得进行记录了。   现在将使用Tomcat的一些经验和心得写到这里,作为记录和备忘。如果有朋友看到,也请不吝赐教。      首先,我个人使用的是apache-tomcat-7.0.27你可以下载使用,前提条件你需要安装JDK1.6或者1.7都可以,本人使用的jdk1....

2016-05-31 13:58:57 224 0

转载 渗透测试工具实战技巧合集

最好的 NMAP 扫描策略 # 适用所有大小网络最好的 nmap 扫描策略 # 主机发现,生成存活主机列表 $ nmap -sn -T4 -oG Discovery.gnmap 192.168.56.0/24 $ grep "Status: Up" Discovery.gn...

2016-05-30 10:45:16 2918 0

原创 ESAPI入门使用方法

一、介绍ESAPI 二、所需要的软件 我下载后的文件放置在  【E:\软件源文件 】中 三、使用方法   1.将下载好的文件解压。解压的文件依旧在【E:\软件源文件】  2.将文件下列文件加入到                     1)E:\软件源文件\esapi-2.1.0-dis...

2016-05-19 12:12:12 26031 12

转载 sqlmap注入之tamper绕过WAF防火墙过滤

每当注入的时候看到这个贱贱的提示框,内心有千万只草泥马在奔腾。   但很多时候还是得静下来分析过滤系统到底过滤了哪些参数,该如何绕过。 sqlmap中的tamper给我们带来了很多防过滤的脚本,非常实用,可能有的朋友还不知道怎样才能最有效的利用tamper脚本。 当然使用脚本之前需...

2016-05-19 11:34:36 10280 2

转载 内网渗透中转发工具总结

最近一段时间内网渗透做的比较多,刚好今天比较有时间,就总结一下内网中转发的一些工具的使用。这里主要介绍了lcx、nc 、sSocket、tunna、reGeorg几款平时用的比较多的工具,网络上也有很多关于他们的介绍,而且也非常不错,但是并没有统一起来,写这篇文章就算是一个小小的汇总吧。 0x00...

2016-05-03 15:34:56 1679 0

转载 代码审计:审计思路之实例解说全文通读

在我的新书《代码审计:企业级web代码安全架构》发布之际,借用这篇文章跟大家分享下代码审计的一些思路,目前该书已经可以在淘宝和京东等网站购买。 本文章首发在freebuf。   根据敏感关键字来回溯传入的参数,是一种逆向追踪的思路,我们也提到了这种方式的优缺点,实际上在需要快速寻找漏洞的情况...

2016-05-03 14:58:58 3499 0

提示
确定要删除当前文章?
取消 删除