12 2019 档案
摘要:Typora是一款Markdown文本编辑器,跨平台并且免费。而且很好用。 Gitbook可以将md文件转成html文件,读者可以很方便的通过浏览器进行浏览。 由于Gitbook是基于node的,所以先来下载node,推荐版本为6.14.1,为了兼容gitbook 2.6.7版本。因为gitbook
阅读全文
摘要:项目采用的SSM,页面用的jsp格式(导致XSS产生的最大原因),其中用了很多EL表达式如 ,取根路径、 ,取URL参数。 在第三方测评的时候,由于页面上使用了很多这种语法,所以被爆出了大量的XSS漏洞。 解决办法。使用JSTL标签库的c标签解决了EL表达式容易被XSS注入的问题。 项目是多人协同开
阅读全文
摘要:指定注入技术 B :基于Boolean类型盲注 E :基于报错的注入 U :联合查询注入 S :堆叠注入 T :基于时间的盲注 Q :内联查询注入 默认使用所有注入技术, technique="BEUSTQ" 设置时间盲注的参数 time sec :设置基于时间盲注的延时,单位是秒,默认5秒 联合注
阅读全文
摘要:Mybatis执行对数据库的操作主要通过Sqlsession完成的,Sqlsession是个接口,它有两个实现类,DefaultSqlSession和SqlSessionManager。 DefaultSqlSession:Mybatis在构建的时候,默认创建了DefaultSqlSessionFa
阅读全文
摘要:Sqlmap性能优化设置 1. Sqlmap设置持久HTTP连接,sqlmap默认是一次连接成功后马上关闭。 HTTP报文中相当于Connection: Close(一次连接马上关闭) 要扫描站点的URL比较多时,这样比较耗费性能,所以需要将HTTP连接持久化来提高扫描性能。 HTTP报文相当于Co
阅读全文
摘要: 目标excel文件内容如下 由于A列的“Y00001”和C列的数据是B4,B5,B6共用的数据项,我理想中的情况是easyexcel在做读取操作时,在读取三行数据时都会把A列和C列的数据给读出来。但是在读取的时候,只有第一次读取能把A、C列的数据读取出来,后面两次读取A、C列的值为空。目
阅读全文
摘要: Sqlmap设置Http请求参数 cookie:指定cookie信息,用来代理登陆状态,如果站点目标URL需要登陆之后才能访问,那么在使用sqlmap对目标URL进行扫描时需要将登陆后的cookie一并带过去,不然sqlmap的扫描有可能会被重定向到登陆页面,或者没有访问该接口的权限 m
阅读全文
摘要: Sqlmap安装 1. 进入 "sqlmap官网" ,下载,运行sqlmap.py文件即可 2. 通过pip安装 直接在命令行运行sqlmap即可 Sqlmap直连数据库 如果报错需要下载pymysql模块 d:直连数据库,后面跟着连接信息 mysql://用户名:密码@主机名:端口/数
阅读全文
