摘要： 1.CSRF Referer过滤不严 if((referer!=null) && (referer.trim().startsWith("www.testdomain.com"))){} 2.SSRF String url=request.getParameter("url"); URL u=new 阅读全文

摘要： 1.sql注入 jdbc拼接不当引起的sql注入，主要用到PreparedStatement 自己写个案例试一下 用Servlet的案例 先写个工具类 package util; import java.sql.*; public class DBConn { static String url = 阅读全文

摘要： 1.JAVA EE核心技术 java数据库连接 JDBC JAVA命名和目录接口JNDI，java目录应用程序界面，提供目录系统，将服务名称与对象关联起来，从而可以使用名称访问对象 企业级JavaBean EJB 在服务端可被管理的组件 远程方法调用RMI，分布式应用程序API Servlet 服务 阅读全文

摘要： 1.jdk安装：网上案例很多，主要注意jdk版本，有些poc要特点JDK版本。 2.docker容器编排：主要是docker的基本使用方法,vulhub的下载与安装 搜索镜像 docker search tomcat 拉取镜像 docker pull dordoka/tomcat 查看镜像 dock 阅读全文

摘要： 总的来说，这章基本没什么卵用。只是介绍了一些工具，但是也没说怎么用，看了之后基本不会掌握任何测试技巧 1.代码编辑器 Sublime:文本编辑器 IDEA: java IDE，反编译，动态调试，代码搜索，漏洞定位 Eclipse:java开发工具 2.测试工具 BurpSuite:你懂 Switch 阅读全文

摘要： 在使用json.dumps时要注意一个问题 >>> import json>>> print(json.dumps('中国'))"\u4e2d\u56fd"123输出的会是‘中国’ 中的ascii字符码，而不是真正的中文。 这是因为json.dumps序列化时对中文默认使用的ascii编码想输出真正 阅读全文

摘要： 一、multiprocessing 简介 python中的多线程无法利用多核优势，如果想要充分使用多核CPU的资源，就要采用多进程的方式。multiprocessing模块，支持子进程、通信和共享数据、执行不同形式的同步，提供Process、Queue、Pipe、Lock等组件。 二、使用实践 大多 阅读全文

摘要： 看代码时遇到*args，**kwargs这样的参数，以前没有用过，记录下使用方法。 1.*args的使用方法 *args 用来将参数打包成tuple给函数体调用 def funtest(*args): print(args) funtest(1) funtest(1,2) funtest(1,2,3 阅读全文

摘要： 1.简介 面向对象编程 (OOP) 语言的一个主要功能就是“继承”。继承是指这样一种能力：它可以使用现有类的所有功能，并在无需重新编写原来的类的情况下对这些功能进行扩展。 2.实践 继承的定义 编写一个类Person class Person: def __init__(self,name,age) 阅读全文

摘要： XStream是一个将java对象序列化为xml以及从xml反序列化为java对象的开源类库。 1.idea创建maven项目 2.pom.xml中引入漏洞版本依赖 <dependencies> <dependency> <groupId>com.thoughtworks.xstream</grou 阅读全文