摘要：EL 表达式 : 对象的访问1、语法结构${expression} 主要在jsp页面减少脚本片段，便捷访问各种对象。 2、[]与.运算符EL提供“.“和“[]“两种运算符来存取数据。 尽量用[],都通吃！当要存取的属性名称中包含一些特殊字符，如.或?等并非字母或数字的符号，就一定要使用... 阅读全文

摘要：HTTP_CLIENT_IP：可通过http头伪造HTTP_X_FORWARDED_FOR：可通过http头伪造REMOTE_ADDR：可能是用户真实IP也可能是代理IP服务端获取IP地址http://www.taoyiz.com/util/ip其代码如下:$s_onlineip=getenv(‘H... 阅读全文

摘要：ThinkSNS防御绕过思路(unionselect真正的无限制sql注射)publicfunctionbulkDoFollow(){//安全过滤$res=$this->_follow_model->bulkDoFollow($this->mid,t($_POST['fids']));$this->... 阅读全文

摘要：标准参考无。问题描述一般情况下，onbeforeunload 事件处理函数内会写入一些提示性语句，当用户的浏览器跳转到其他页面时，用来提醒用户当前页面将要跳转，请用户决定是否观看新页面。或者在 onbeforeunload 事件内处理一些业务逻辑，在浏览器跳转到新页面之前 ，执行一些业务逻辑，如保存... 阅读全文

摘要：0x00 相关背景介绍Clickjacking（点击劫持）是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年首创的。是一种视觉欺骗手段，在web端就是iframe嵌套一个透明不可见的页面，让用户在不知情的情况下，点击攻击者想要欺骗用户点击的位置。由于点击劫持的出现，便出现了反frame嵌套... 阅读全文