- 博客(15)
- 收藏
- 关注
RSS订阅原创 Ubuntu安装OpenRasp后台管理
Ubuntu安装OpenRasp后台管理安装JDK进入JDK官网,选择JDK8的版本,根据自己虚拟机的架构(查看内核命令:uname -a),下载后缀名为*.tar.gz*的文件将下载完的压缩包放在自己的目录下:mv /home/gs/下载/jdk-8u311-linux-x64.tar.gz /etc/local/gs/java/。然后进入该文件夹,解压jdk:tar -zxvf jdk-8u311-linux-x64.tar.gz配置环境变量:vim /etc/profile
2021-11-11 17:39:06
3259
原创 CRLF漏洞
CRLF漏洞CRLF的含义是carriage return/line feed,意思是行的结束,转义字符是\r\n。CRLF由两部分组成:CR:回车符的MSC字符,转义字符是\r,ASCII码十进制是13,URL编码下是%0dLF:换行符的MSC字符,转义字符是\n,ASCII码十进制是10,URL编码下是%0a回车符可以让光标移到当前行的开始位置,换行符可以让光标垂直移到下一行(Enter键)。不同系统的换行操作符是不一样的:Windows:CRLFLinux:LFCRLF是在电传
2021-10-27 15:07:31
527
原创 HackTheBox-BountyHunter靶场通关记录
文章目录HackTheBox-BountyHunter靶场准备工作信息搜集漏洞利用提权HackTheBox-BountyHunter靶场准备工作打开hackthebox并找到bountyhunter靶场,关注并获取到IP地址在hackthebox中下载vpnKali虚拟机,并运行指定的vpn信息搜集我拿到的IP地址为:10.10.11.100使用nmap进行端口扫描,看看开放了哪些端口。sudo nmap -Pn -sS -p- 10.10.11.100可以看到开放了22端
2021-10-26 17:31:53
2883
原创 jasypt使用
jasypt使用Jasypt可以用于配置文件加密。通常配置文件中存放有数据库账号密码等敏感的输入,如果被攻击者通过任意文件读取的漏洞访问,那么这些敏感信息很容易泄露,因此对这些数据加密加强了系统的安全性。Jasypt使用分为加密和解密两部分。加密可以通过执行CMD命令,调用jar包中的JasyptPBEStrignEncryptionCLI类来执行加密;也可以编写测试代码,在代码中使用该jar包加密数据解密则需要在项目中进行相应的配置(详细如下)单数据源配置pom.xml
2021-10-26 14:18:04
956
原创 《白帽子讲web安全》笔记
文章目录《白帽子讲web安全》笔记安全三要素安全评估资产等级划分过程威胁分析风险分析更科学地衡量风险设计安全方案优秀的安全方案的特点白帽子兵法Secure By Default原则白名单、黑名单最小权限原则纵深防御原则数据和代码分离原则不可预测性原则客户端脚本安全浏览器安全同源策略XSS攻击分类反射性XSS存储型XSSDOM Based XSSXSS攻击进阶XSS Payload构造GET和POST请求XSS钓鱼识别浏览器识别用户安装的软件XSS Worm构建payloadXSS构造技巧XSS防御CSRFC
2021-10-22 15:57:17
2372
3
原创 任意文件读取和上传
文章目录任意文件读取和上传任意文件读取危害存在位置防御手段例1例2任意文件上传危害防御手段绕过姿势前端JS校验代码校验例子任意文件读取和上传任意文件读取任意文件读取,也可以称为任意文件下载或文件包含(File Inclusion),指的是代码中没有对参数进行严格限制,导致攻击者可以通过目录穿越或修改读取的文件名从而达到读取任意文件的目的危害配置文件泄露:攻击者通过任意文件读取漏洞查看配置文件,从而获取数据库连接等相关的敏感信息;也可以读取业务代码,造成源码泄露执行shell命令:攻击者首先
2021-10-22 15:16:26
869
原创 XML简介和XXE漏洞
文章目录XML简介和XXE漏洞XML简介使用XML结构XML语法说明XML元素XML属性XML验证XML命名空间CDATADTD内部DTD外部DTDDTD实体内部实体外部实体XXE漏洞危害防护攻击方式实战例子XML简介和XXE漏洞XML简介XML指可扩展标记语言,它被设计用来传输和存储数据。(HTML被用来显示数据)XML没有预定义的标签,需要自行定义标签XML是不作为的,及它不存在任何的行为,只是用来结构化、传输和存储信息它仅仅是纯文字XML 是独立于软件和硬件的信息传输工具。(更多介绍
2021-10-22 15:15:27
756
原创 SQL注入和防护简介
SQL注入详解SQL注入指通过向服务器发送恶意的SQL语句或片段注入到服务器中,改变原有的SQL逻辑,从而实现攻击者的目的比如在源代码中存在这样的语句:public Object sqlInjection(String param){ ... String sql = "select * from user where username='" + param + "'"; resultSet = prepareStatement.executeQuery(sql);
2021-10-22 15:14:26
638
原创 SpringBoot自定义拦截器和跨域配置冲突
技术栈vue-cli3,springboot 2.3.2.RELEASE问题引出在做毕业设计过程中用到了自定义拦截器验证登录。同时在springboot配置类中设置了跨域问题,出现跨域失败的情况。原代码:@Configurationpublic class WebConfig extends WebMvcConfigurationSupport { @Override protected void addCorsMappings(CorsRegistry registry.
2021-04-11 17:24:11
1060
原创 SpringSecurity实现登录注册
SpringSecurity实现登录注册技术栈:后台: SpringBoot SpringScurityMybatisPlus数据库:Oracle11g前端:FreemarkerLayUI数据库搭建CREATE TABLE "SCOTT"."ADMIN" ( "ID" VARCHAR2(20 BYTE) NOT NULL ENABLE, "USERNAME" VARCHAR2(20 BYTE) NOT NULL ENABLE,
2020-08-07 10:21:14
5880
3
原创 ListInterator源码学习
源码学习ListInteratorListInterator是List集合的迭代器。它的允许对集合以任意方向进行遍历、修改、获取当前的位置。它本·身是一个指针,通过移动指针来实现对集合的遍历等操作。而指针指向的位置并不是当前元素前一个位置,而是两个元素之间的位置,比如:在遍历集合{1,2,3}时,遍历到2时,指针处于1和2之间的位置,因此它可以通过next()和previous()方法很容易的获取到下一个元素和之前的元素,也可以通过nextIndex()和previousIndex()获取到下一个元素
2020-08-06 11:07:05
179
原创 简单的Mybatis程序
简单的Mybatis程序引入Mybatis使用maven,在pom.xml中加入依赖<!--mybatis依赖--><dependency> <groupId>org.mybatis</groupId> <artifactId>mybatis</artifactId> <version>3.5.5</version></dependency><!--数据库驱动--&g
2020-07-23 16:19:39
161
1
原创 Java连接数据库在URL常用的一些参数(更新中)
**介绍:**在使用JDBC连接数据库时,在url中除了主机和数据库外,还会写入一些参数,在这个文章中对这些参数进行一些总结。String URL = "jdbc:mysql://localhost:3306/demo";在这个连接的后边可以加入如下参数,黑体为默认值或必须设置的参数:参数名参数值参数解释1useSSLtrue | false使用SSL连接,true是使用,false是不使用。2useUnicodetrue | false是否使用Unic.
2020-07-22 19:58:39
449
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人