![](https://img-blog.csdnimg.cn/20201014180756913.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
Java
文章平均质量分 85
星辰流炎
这个作者很懒,什么都没留下…
展开
-
Linux 防火墙安装与配置
iptables 构建防火墙应用IPtables 不是真正的防火墙,netfilter 才是防火墙真正的安全框架。iptables 其实是一个命令行工具,位于用户空间,能用这个工具操作真正的框架。iptables 中有5张表filter表:iptables 中使用最广泛的表,作用是进行过滤主机的数据包,也是由filter 表来决定一个数据包是否继续发往目的地地址或者被拒绝。nat表:用于网络地址转换,可以改变数据包的源地址或者目的地址。input——forward——outputoutput,负原创 2020-07-01 23:13:16 · 887 阅读 · 0 评论 -
kali 无法连接网络的解决办法
root@kali:~# ifconfigeth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500inet6 fe80::20c:29ff:fe56:dd6b prefixlen 64 scopeid 0x20ether 00:0c:29:56:dd:6b txqueuelen 1000 (Ethernet)RX packets 28 bytes 2997 (2.9 KiB)RX errors 0 dropped原创 2020-09-21 15:19:21 · 6164 阅读 · 3 评论 -
Kali 常用工具
MSFMetasploit Framework 开源工具,方便进行渗透测试。Ruby开发的Auxiliaries(辅助模块):负责扫描、嗅探、指纹识别等功能Exploit(漏洞利用模块):利用安全漏洞进行攻击行为Payload(有效载荷模块):在渗透攻击之后,用于在目标系统上执行任意命令或者执行特定的代码Post(后期渗透模块):用于在取得目标系统远程控制权限后,进行一系统的后渗透攻击动作Encoders(编码工具模块):主要负责免杀CVECommon Vulnerabiluities &a原创 2020-09-19 15:13:51 · 3661 阅读 · 0 评论 -
Java -- 代码审计
JAVA代码审计文件下载检查文件处理时,是否有对路径进行强限定,因为强限定路径可以避免用户恶意构建下载文件的路径文件上传了解文件路径src—源代码目录(在部署的时候不会放入到容器里)WebContent(WebApp\Web)—Web 应用,服务器部署目录,在服务器中生成当前文件同名的目录部署,表示工程根路径。如WEBDemo工程的部署,会将 WebContent改名为WEBDemo。如需要访问改目录则直接使用http://localhost:8080/WEBDemo WEB-INF原创 2020-09-19 15:09:13 · 583 阅读 · 0 评论 -
java --XXE 攻击原理及防御
什么是 XEEXXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。需要强调的是利用点是 外部实体 ,也是提醒读者将注意力集中于外部实体中,而不要被 XML 中其他的一些名字相似的东西扰乱了思维(盯好外部实体就行了),如果能注入 外部实体并且成功解析的话,这就会大大拓宽我们 XML 注入的攻击面。XEE 背景XML是一种非常流行的标记语言,在1990年代后期首次标准化,并被无数的软件项目所采原创 2020-09-05 17:09:06 · 1906 阅读 · 0 评论 -
java -- SSRF 攻击原理及防御
什么是 SSRF服务器端请求伪造(SSRF)是指攻击者能够从易受攻击的Web应用程序发送精心设计的请求的对其他网站进行攻击。(利用一个可发起网络请求的服务当作跳板来攻击其他服务)简单理解就是:攻击者能够利用目标帮助攻击者访问其他想要攻击的目标A让B帮忙访问C为什么会产生SSRF漏洞?很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL,web应用可以获取图片,下载文件,读取文件内容等。且没有对目标地址做过滤与限制,就产生了SSRF这个功能如果被恶意使用,可以利用存在原创 2020-09-05 16:18:26 · 2214 阅读 · 0 评论 -
Java -- CSRF 攻击原理及防御
什么是CSRF攻击CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证(比如cookie),绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。一个典型的CSRF攻击有着如下的流程:1、 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可原创 2020-09-05 15:59:53 · 5296 阅读 · 0 评论 -
Java --XSS攻击原理及防御
xss 攻击过程跨站脚本攻击(Cross Site Scripting), 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。xss 的危害XSS攻击的危害这些危害包括但不局限于∶盗取管理员或普通用户cookie、session ;读取、篡改、添加、删除敏感数据;网站挂马;非法转账;控制受害者机器向其它网站发起攻击xss 的三种类型反射型XSS:只是简单地把用户输入的数据反射给浏览器,黑原创 2020-09-05 15:38:37 · 2461 阅读 · 0 评论 -
Java -- SQL注入
为什么会产生SQL注入问题举一个简单的SQL注入攻击的例子:假如我们有一个users表,里面有两个字段username和password。在我们的java代码中我们初学者都习惯用sql拼接的方式进行用户验证。比如:” select id from users where username = ‘”+username +”’ and password = ‘” + password +”’ ” 这里的username和password都是我们存取从web表单获得的数据。下面我们来看一下一种简单的注入,原创 2020-09-05 15:01:52 · 3767 阅读 · 0 评论 -
Java -- 访问控制,伪造请求,拿cookie
绕过服务器限制通过自己构造请求头的形式,绕过服务器的限制,伪造一个请求头进行身份伪造。package com.mtlk.test;import java.io.*;import java.net.Socket;import java.util.Scanner;public class Put { public static void main(String[] args) throws IOException { StringBuffer body = new Str原创 2020-09-05 14:28:51 · 664 阅读 · 0 评论 -
Java -- jsp 文件包含
jsp文件包含的两种形式<jsp:include page=""/>和<%@include file=""%>都可以实现JSP中的文件包含1、<jsp:include page=""/> 是动作标识;<%@include file=""%>是指令2、 <jsp:include page=""/> 是动态引入,通过page属性指定被包含的文件,page属性支持JSP表达式;<%@include file=""%>是静态引入,通过fi原创 2020-09-05 10:47:51 · 894 阅读 · 0 评论 -
sqlmap 常用命令
常用命令-u 指定目标URL (可以是http协议也可以是https协议)-d 连接数据库–dbs 列出所有的数据库–current-db 列出当前数据库–tables 列出当前的表–columns 列出当前的列-D 选择使用哪个数据库-T 选择使用哪个表-C 选择使用哪个列–dump 获取字段中的数据–batch 自动选择yes–smart 启发式快速判断,节约浪费时间–forms 尝试使用post注入-r 加载文件中的HTTP请求(本地保存的请求包txt文件)-l 加载文件原创 2020-09-01 17:34:46 · 1171 阅读 · 0 评论 -
nmap 常用参数
参数说明-Pn穿透防火墙进行扫描: nmap -Pn +ip. 扫描之前不需要用ping命令,有些防火墙禁止ping命令。可以使用此选项进行扫描-sTTCP connect()扫描,这种方式会在目标主机的日志中记录大批连接请求和错误信息。-sS半开扫描,很少有系统能把它记入系统日志。不过,需要Root权限。-sF 、sN秘密FIN数据包扫描、Xmas Tree、Null扫描模式-sPping扫描,Nmap在扫描端口时,默认都会使用ping扫描,只有主机存...原创 2020-08-26 19:43:55 · 8715 阅读 · 0 评论 -
Java -- 一句话木马
用Java调用计算机程序import java.io.IOException;public class WebShell { public static void main(String[] args) throws IOException { Runtime.getRuntime().exec("calc"); }}调用cmd命令import java.io.IOException;import java.io.InputStream;import原创 2020-08-26 19:09:33 · 2308 阅读 · 0 评论 -
用 Kali 实现爆破获取用户名密码
preferen–setting然后在浏览器里面输入搭建好的服务器地址右键看长度原创 2020-08-26 19:07:53 · 13310 阅读 · 0 评论 -
Java -- socket 实现聊天小程序
客户端package com.mtlk.chat;import java.io.IOException;import java.io.InputStream;import java.io.PrintWriter;import java.net.Socket;import java.util.Scanner;//implements是一个类实现一个接口用的关键字.实现一个接口,必须实现接口中的所有方法。//在java中可有两种方式实现多线程,一种是继承Thread类,一种是实现Runnab原创 2020-08-22 16:57:43 · 1134 阅读 · 0 评论 -
Java -- 输入、输出文件流
输入文件流package com.mtlk.Socket;import java.io.FileInputStream;import java.io.IOException;public class Input { public static void main(String[] args) throws IOException { //用fis 接收E:/123/day01.md 里面的东西 以字节流的形式 FileInputStream fis =原创 2020-08-20 18:50:03 · 260 阅读 · 0 评论 -
Java -- 输出文件内容
输出指定文件夹里面的文件package com.mtlk.Day_04;import java.io.File;public class PrFile { public static void main(String [] args){ File file = new File("E:/网安"); //创建一个file对象接收E盘里面的文件 File[] fi = file.listFiles(); //将file里面的文原创 2020-08-20 14:58:21 · 2319 阅读 · 0 评论 -
Java -- 静态与非静态的调用
1、public:public表明该数据成员、成员函数是对所有用户开放的,所有用户都可以直接进行调用2、private:private表示私有,私有的意思就是除了class自己之外,任何人都不可以直接使用,私有财产神圣不可侵犯嘛,即便是子女,朋友,都不可以使用。静态方法和属性用类名调用非静态方法和属性用引|用名调用调用符号就是.,引用名或类名在前,被调用的方法或属性名在后类型引用名= new构造方法();调用方法或构造方法必须和形参的类型、个数、顺序-致是不是静态看有没有static修饰调用原创 2020-08-19 16:00:28 · 471 阅读 · 0 评论 -
web 安全漏洞及防范
一、SQL注入漏洞SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。通常情况下,SQL注入的位置包括:(1)表单提交,主要是POST请求,也包括GET请求;(2)URL参数提交,主要为GET请求参数;(3原创 2020-08-18 20:36:49 · 512 阅读 · 0 评论 -
java -- 注入安全、流加密
替换敏感词public class Replace { public static void main(String[] args){ String s = "< script >"; // do{ s = s.replace((char)32,(char)42); // 将空格替换为*号 }while (s.indexOf(32) > 0); // 有空格循环原创 2020-08-18 20:18:44 · 194 阅读 · 0 评论 -
Java -- 数据溢出及解决办法
一.什么叫数据溢出。首先,基本的数据类型(long,int,short,byte,char,float,double)都有自己能够保存的数据范围。long(长整型)的数据范围:-9223372036854775808——9223372036854775807;int(整型)的数据范围:-2147483648——2147483647;short(短整型):-32768——32767;byte(位):-128——127;char(字符型):0——65536;float(单精度浮点型):-3.4E3原创 2020-08-18 14:58:54 · 11633 阅读 · 0 评论 -
Java 基本概念
语言分类编译语言编译以后执行的语言解释语言直接以解释器解释执行 (HTML、JS、PowerShell)java能干什么?功能强大:JAVAEE(企业级开发:EJB、JMS、JTA、JTS…)、JAVASE(桌面级开发:JAVA标准API、SWING)、JAVAME(嵌入式开发)难学:规则、强类型、语法结构、框架面向对象安全健壮跨平台:JVM概念JDK–JAVA开发套件、JAVA开发库JRE–JAVA运行环境JVM–JAVA虚拟机JAVA格式package com.原创 2020-08-18 14:48:27 · 117 阅读 · 0 评论