- 博客(8)
- 资源 (16)
- 收藏
- 关注
原创 SQL注入-盲注篇,获取数据库的连接用户等信息(1)
一、概述最近在工作时,发现某系统有SQL注入漏洞,post请求,但由于有安全监控,因此不敢直接使用SQLMAP跑,因此手工进行注入验证。二、具体详情根据源代码审计,发现xxx.java文件存在大量sql注入漏洞,通过对其中一个进行验证(其他类似),跟踪数据流,构造其请求是http://****:**/**/**/**Detail.json,参数是serialNo。1、正常构造请求如下,serialNo的内容是0,可发现返回查询结果,且长度是3640472、修改serialNo的内容.
2021-06-27 11:19:17 915
原创 Struts2 请求响应流程及创建步骤
最近在对Struts2框架的项目进行源代码业务逻辑漏洞分析,趁机把之前学的struts2、自己对struts的简单理解整理一下。有不对的地方还请各位看官大神多指教。对于新项目开发,不建议使用Struts2框架,其含有太多的漏洞,如Struts2-045远程命令执行、S2-057远程命令执行等高危漏洞。一、简介Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个se...
2020-03-31 18:04:27 640
原创 Java静态代理和动态代理
一、代理简单理解Proxy代理模式是一种结构型设计模式,主要解决的问题是:在直接访问对象时带来的问题。代理是一种常用的设计模式,其目的就是为其他对象提供一个代理以控制对某个对象的访问。代理类负责为委托类预处理消息,过滤消息并转发消息,以及进行消息被委托类执行后的后续处理。为了保持行为的一致性,代理类和委托类通常会实现相同的接口,所以在访问者看来两者没有丝毫的区别。通过代理类这中间一...
2020-03-29 14:35:31 170
原创 Java 反射机制学习记录
一、类的加载机制1、类的使用分为3个步骤:类的加载->类的连续->类的初始化2、类的加载过程:当程序运行的时候,系统(即JVM)会首先会把我们要使用的Java类加载到内存中。这里加载的是编译后的.class文件;(这里只有某个Java类被使用的时候才会加载,否则不加载)每个类加载到内存中,会创建一个对应的Class对象。这个Class对象保存了这个类的成员(数据成员、方...
2020-03-28 16:46:35 136
原创 Http Headers各属性简介及常见安全攻击
Http Headers常用属性介绍Host(发送请求时,该报头域是必需的)请求报头域主要用于指定被请求资源的Internet主机和端口号,它通常从HTTP URL中提取出来的,例如我们在浏览器中输入:https://www.csdn.net,浏览器发送的请求消息中,就会包含Host请求报头域,如下:Host:www.csdn.net此处使用缺省端口号443,若指定了端口号,则变成:...
2020-03-21 20:57:18 3500
原创 Spring MVC 请求响应流程及创建步骤
一、简介spring mvc框架是一个MVC框架,通过实现MVC很好的将数据、业务、展现进行分离spring MVC 的设计围绕DispatcherServlet展开的,由DispatcherServlet负责将请求派发到特定的handler二、springmvc 框架搭建步骤1. 创建工程,拷贝springmvc相关的jar,并把jar拷贝到lib2. 配置web....
2020-03-20 22:13:20 180
原创 SQLMAP 脱库过程(post请求,三种方法)
一、准备工作1、sqlmap为python语言开发,因此需要具备python环境。2、python环境搭建及sqlmap下载,可参考其他文章。(很多也很全,这个不是本文重点,因此略过)二、环境搭建1、本人使用的是Mac、windows7虚拟机,windows7中部署DVMA2、以DVMA的sql注入为例(DVMA安全级别为medium),进行详细介绍。三、post请求脱库三...
2020-03-20 20:41:59 4979
原创 SQLMAP 脱库过程(get请求)
一、准备工作1、sqlmap为python语言开发,因此需要具备python环境。2、python环境搭建及sqlmap下载,可参考其他文章。(很多也很全,这个不是本文重点,因此略过)二、环境搭建1、本人使用的是Mac、windows7虚拟机,windows7中部署DVMA2、以DVMA的sql注入为例(DVMA安全级别为low),进行详细介绍。三、get请求脱库1、访...
2020-03-20 20:41:01 1756
ProxyTest.zip
2020-03-29
spring-jdbc文件数据库配置加密
2016-05-31
Android加载高德地图 获取当前位置及各点位置
2014-12-27
android加载高德地图并对标记连线
2014-08-11
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人