工作记录7.26，xss、路径遍历、http截断、sql注入

T_Y9943

于 2024-07-26 18:03:21 发布

阅读量129

点赞数 2

分类专栏：工作记录文章标签： xss 前端 java

本文链接：https://blog.csdn.net/weixin_44035362/article/details/140721761

版权

工作记录专栏收录该内容

4 篇文章 0 订阅

订阅专栏

工作记录7.26，xss、路径遍历、http截断

这周学习并解决了常见的反射型、存储型xss过滤，http截断。

xss

常见做法是对string进行html过滤

msg= new HTMLFilter().filter(msg);
// 注意：如果HTMLfilter不支持对象，则需要先json序列化，再反序列化
// 如返回的是obj对象,T obj
String json_str= JSON.toJSONString(obj)
json_str= new HTMLFilter().filter(json_str);
T obj = (T)JSON.parseObject(json_str,obj.getClass())
return obj

HTMLFilter网上有很多实现，这里不做额外说明

路径遍历

攻击者可能提供类似下面的输入：
/safe_dir/../important.dat

过滤路径字符串

import org.apache.commons.io.FileUtils;
File file = FileUtils.getFile(file_path);

SQL注入

$换成#，简单粗暴，不过我很好奇为什么对象也能这么防止sql注入呢，str的倒是可以理解。

$(obj)
#(obj)

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

T_Y9943

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
工作记录7.26，xss、路径遍历、http截断、sql注入

这周学习并解决了常见的反射型、存储型xss过滤，http截断。
复制链接

扫一扫

专栏目录

Postman-win64-7.26.1-Setup.exe

06-20

postman是一款强大网页调试工具的客户端，postman为用户提供强大的 Web API & HTTP 请求调试功能。postman能够发送任何类型的HTTP 请求 (GET, HEAD, POST, PUT..)，附带任何数量的参数+ headers，是一款非常实用的...

unidac 7.26 for delphi 10.2 tokyo 安装版

11-11

unidac是一个功能强大的支持多数据库的引擎，可以安装在Delphi, Delphi for .NET, and C++Builder 。... unidac是一个完整的标准数据库连接解决方案，可以支持 Oracle, SQL Server, MySQL, InterBase, 和 Firebird。

参与评论您还未登录，请先登录后发表或查看评论

SQL注入之MYSQL注入总结-20240517更新mysql可报错注入函数

qq_39764475的博客

08-12

2101

简介 information_schema是用于存储数据库元数据的表，它保存了数据库名，表名，列名等信息。让我们从爆破表名到了可以直接查询。 information_schema是MySQL5.0以上数据库独有，MYSQL4.X的没有，只能进行对库名、表名、列名暴力破解。基本使用基本语法 1.建立数据库 mysql> create database mysqltest; Query OK, 1 row affected (0.00 sec) 2.查询所有数据库 mysql> show d

7.26实习培训日志-Oracle SQL(二)

08-01

156

Oracle SQL(二) 条件表达式 CASE 语句或者DECODE 函数，两者均可实现 IF-THEN-ELSE 的逻辑，相比较而言，DECODE 更加简洁 SELECT last_name ,job_id ,salary ,CASE job_id WHEN 'IT_PROG' THEN 1.10 * salary ...

7.26javaweb——http学习

qq_55116663的博客

07-27

javaweb——http学习简单的请求响应协议——超文本传输协议文本：html,字符串超文本：图片，音乐，视频，定位，地图… 端口：80https:443 两个时代 http1.0 HTTP/1.0客户端能能够和web服务器连接，只能获得一个web资源 http2.0 HTTP/1.1连接后可以获得多个请求客户端–发请求（request）–服务器 1请求行请求中的请求方式GET 请求方式“Get/Post get一次请求的参数比较少，会在浏览器的地址栏显示内容，不安全，但是高效

暑训记录7.26

daydreamer23333的博客

07-26

早上补玩了牛客第三场的b题，卡空间还搞了一会，好像之前都没怎么学prim算法，板子都用的很头疼。然后开始写模拟，一直写到下早训

7.26工作日记

最新发布

Sjjyyy的博客

07-26

136

今天是星期五开心因为上完今天就是休息日啦爽爽爽今天主要还是把健身房给完善了一下天哪这真的是一项大工程尤其是后面轮滑装置的部分还挺烧脑的但是全部完工之后还是很有成就感的配上杠铃哑铃真的梦中情房了一会给大家配张图中午吃了一碗盖浇饭味道淡了些但是好吃他用料真的很扎实肉好多外卖清单又多了一家我发现基本上次乌打面这种名字就不太会踩雷今天还下了雨可能因为台风要来了所以天气也挺凉快的就是没开我的小电驴工作方面没什么进展因为不太能看得懂时钟端口和地址这些意思所以有些迷茫。

7.26 学习记录

qq_43642681的博客

07-26

195

人外有人，天外有天。不努力就没有未来。

7.26学习记录-寄存器模型

icerZhou的博客

08-03

564

寄存器模型的初步理解

记录13_7.26~7.27

qq_44944103的博客

07-29

125

我们在这段时间内进行了项目质量计划文档的学习，并编写了云主机比价系统的质量计划书。内容如下： 1 质量定义软件质量是产品或者服务满足明确和隐含需要能力的性能特性的总体。ANSI/AEEE Std729——1983对软件质量的定义为“与软件产品满足规定的和银行的需求能力有关的特征或特性的全体”。软件质量反映了以下3方面的问题：软件需求是度量软件质量的基础，不满足需求的软件就不具备质量。不遵循各种标准中定义的开发规则，软件质量九得不到保证。只满足明确定义的需求，二没有满足应有的隐含需求，软件质量也得不

JAVA刷题记录（小白边刷边学）7.26

qq_37801888的博客

07-28

合并两个有序链表

OidProducer7.26

01-27

"OidProducer7.26" 是一个专用于制作点读书的工具，它主要用于生成OID（Object Identifier）编码，这种编码技术广泛应用于教育领域，尤其是点读笔产品中。OID是一种在数字信息管理系统中用于唯一标识对象的数字序列...

winSSHD7.26

08-27

WinSSHD 是一款Windows NT/2000/XP/2003下的SSH服务器

Immunity Canvas7.26.zip

03-10

《Immunity Canvas 7.26：深入剖析漏洞利用与逆向工程的神器》 Immunity Canvas是一款在IT安全领域中广泛使用的动态分析工具，它主要用于帮助安全研究人员和渗透测试人员进行漏洞利用和逆向工程的研究。Canvas 7.26...

记一次因敏感信息泄露而导致的越权+存储型XSS

2301_80127209的博客

07-23

568

可能各位师傅会有苦于不知道如何寻找测试目标的烦恼，这里我惯用的就是寻找可进站的思路。这个思路分为两种，一是弱口令进站测试，二是可注册进站测试。依照这个思路，我依旧是用鹰图进行了一波资产的搜集。

网站基本布局CSS

m0_46608027的博客

07-24

789

* 滚动条轨道样式 *//* 滚动条样式 *//* 滑块样式 */

ASP.NET Web Api 使用 EF 6，DateTime 字段如何取数据库服务器当前时间

yangshuquan的专栏

07-24

785

在做数据库设计时，为了方便进行数据追踪，通常会有几个字段是每个表都有的，比如创建时间、创建人、更新时间、更新人等，这些时间字段一般存储的是数据库服务器的时间，EF 是操作整个数据表对象，所以需要寻找方法来实现这个目的。本文分享 DB First 和 Code First 两种模式的 EF 中 DateTime 字段如何存储数据库服务器当前时间的方法。

TS如何处理js模块的类型？

闻人放歌的三寸青草园圃

07-24

255

【代码】TS如何处理js模块的类型？

immunity canvas 7.26 虚拟机

05-21

很抱歉，我不清楚“immunity canvas 7.26 虚拟机”的具体含义。但是，Immunity Canvas是一种网络安全工具，它可以模拟恶意攻击并测试网络系统的安全性。而虚拟机是一种技术，它可以在一台计算机上同时运行多个操作...