- 博客(16)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 SpringBoot上传图片
/** * 上传图片 * @param file * @return */ @Override public String fileUpload(MultipartFile file) { //设置文件名,如:ef931b6f-ce9e-49e8-a357-e52c4fc912f7.jpg String fileName = UUID.randomUUID().toString()+file.getOriginalF..
2021-03-25 20:48:27
150
1
原创 SpringBoot配置登录拦截器
一、登录时将用户信息设置进session /** * 登录 * @param admin * @return */ @RequestMapping("login") public R login(Admin admin, HttpSession session){ Admin admin1 = adminServiceImpl.login(admin); //验证账号密码,返回用户对象admin1 if (admin
2021-03-25 17:46:01
196
原创 信息安全六 越权漏洞
一、概述 由于没有用户权限进行严格的判断,导致低权限的账号(比如普通用户)可以去完成高权限账号(比如超级管理员)范围内的操作。平行越权: A用户和B用户属于同一级别用户,但各自不能操作对方个人信息, A用户如果越权操作B用户的个人信息的情况称为平行越权操作。垂直越权: A用户权限高于B用户, B用户越权操作A用户的权限的情况称为垂直越权。越权漏洞属于逻辑漏洞,是由于权限校验的逻辑不够严谨导致。每个应用系统其用户对应的权限是根据其业务功能划分的,而每个企业的业务又都是不一样的。因此越权漏洞很难
2021-03-02 21:21:10
719
1
原创 信息安全五 不安全的文件下载上传
一、环境测试工具:Burp Suite浏览器:火狐靶场:Pikachu二、不安全的文件下载1、概述文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后 会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。 如果后台在收到请求的文件名后,将其直接拼进下载文件的路径中而不对其进行安全判断的话,则可能会引发不安全的文件下载漏洞。此时如果攻击者提交的不是一个程序预期的的文件名,
2021-03-02 21:09:15
586
原创 信息安全四 文件包含漏洞
一、概述 在web后台开发中,程序员往往为了提高效率以及让代码看起来更加简洁,会使用”包含"函数功能。比如把一系列功能函数都写进fuction.php中 ,之后当某个文件需要调用的时候就直接在文件头中写上一句< ?php include fuction.php? >就可以调用函数代码。 但有些时候,因为网站功能需求,会让前端用户选择需要包含的文件(或者在前端的功能中使用了”包含”功能),又由于开发人员没有对要包含的这个文件进行安全考虑,就导致攻击着可以通过修改包含文件的位置来让后台执
2021-03-02 20:52:20
361
原创 信息安全三 SQL注入
一、概述 SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。常见的注入类型:数字型:user_id = $id字符型:user_id = ‘$id’搜索型:text like ‘%{$_GET[‘search’]}%’二、环境测试工具:Burp Suite浏览器:火狐靶场:Pikachu三、SQL Inje
2021-03-01 17:26:50
426
原创 信息安全二 XSS攻击
一、概述 XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS; 3.DOM型XSS;二、环境靶场:Pikachu浏览器:火狐三、反射型交互的数据一般不会被存放在数据库里,一次性,所见即所得,一般出现在查询类页面等。1.首先输入一些特殊字符
2021-02-28 16:10:50
939
原创 信息安全一 暴力破解
一、概述 “暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。二、环境测试工具:Burp Suite浏览器:火狐靶场:Pikachu三、基于表单的暴力破解①在【代理】-> 【HTTP历史记录】中找到对应请求②右击该请求,选择【发送到Intruder】发送到【测试器】模块里③在【测试器】-> 【
2021-02-28 15:35:48
549
原创 Selenium常用方法总结
题1:浏览器基本操作(如打开浏览器、输入地址、网页最大化等)driver = webdriver.Chrome() #获取浏览器对象driver.get("http://www.baidu.com") #打开浏览器driver.maximize_window() #设置浏览器最大化...
2019-12-06 17:34:40
834
转载 Python单元测试框架unittest
一、简介Python单元测试框架unittest,有时被称为“PyUnit”。PyUnit 是 xUnit 体系的一个成员,xUnit 是众多测试框架的总称,PyUnit 主要用于进行白盒测试和回归测试,与JUnit有很多相似的地方。二、认识Unittest单元测试框架1.Test Fixture :就是setUp()和tearDown(),对一个测试用例环境的搭建和销毁2.Test Ca...
2019-08-30 23:55:59
342
原创 在Windows上安装Appium
一、Appium简介1.AppUI的自动化功能测试工具,开源,跨平台2.Appium是基于Selenium的自动化测试工具3.Appium Server 已经停止更新了,但Appium Desktop 持续更新中(所以这次安装Appium Desktop)4.Appium环境搭建:JDK 、SDK、Appium-Desktop.exe(Inspector元素定位工具)、uiautomat...
2019-08-15 17:07:08
1752
原创 在线考试系统
一、项目简介 该项目是一个JavaWeb的在线考试系统,用户可以注册、登录、在线答题、查看历史记录。目前,只有单选题,日后有时间有精力还可以扩张出多选题,简答题……(该项目是阶段学习的成果,功能比较单一)二、所用技术开发工具:IntelliJ IDEA 2018.3.5操作系统:win10 专业版所用语言:Java前台框架:layui后台框架:Spring Data Jpa、Sp...
2019-08-14 10:39:43
10515
4
原创 Docker基础知识
一.什么是仓库、镜像、容器Docker镜像Docker镜像(Image)类似于虚拟机的镜像,可以将他理解为一个面向Docker引擎的只读模板,包含了文件系统。镜像可以用来创建Docker容器,一个镜像可以创建很多个容器。Docker容器Docker容器(Container)类似于一个轻量级的沙箱子(因为Docker是基于Linux内核的虚拟技术,所以消耗资源十分少),Docker利...
2019-08-10 17:50:06
105
原创 在Ubuntu部署JavaWeb环境
一、安装软件目录软件版本mysql5.7jdk8Tomcat9二、安装MySQL1.运行更新命令:sudo apt-get update2.安装sudo apt-get install mysql-server3.安装完毕,测试登录mysql -uroot -p #出现提示输入秘密,则表示安装成功4.远程连接mysql配置...
2019-08-04 16:39:00
410
原创 Java笔记——单例设计模式
单例设计模式作用:保证在应用程序最多只有一个实例好处:①不用一直实例化对象,提升了程序运行效率;②实现数据共享一 懒汉式对象只有被创建才被调用public class SingleTon { private static SingleTon singleTon; /** * 其他类不能实例化这个类的对象,对外提供访问入口 * 所以构造方法设置为private */...
2019-01-30 13:08:35
152
原创 MyBatis笔记——通过过滤器Filter简化创建SqlSession对象
一 提出问题:为什么要优化代码首先,先看不使用过滤器filter,直接在方法里面创建SqlSessionFactory工厂public class StudentService { public int insStudent(Student student) { InputStream iStream = null; int index = 0; try { iStream...
2019-01-27 13:51:27
3623
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人