明镜止水丨

摘要： 一、装饰器 装饰器，这个器就是函数的意思，连起来，就是装饰函数，装饰器本身也是一个函数，它的作用是用来给其他函数添加新功能，比如说，我以前写了很多代码，系统已经上线了，但是性能比较不好，现在想把程序里面每个函数都加一个功能，用来统计每个函数的运行时间是多少，找出来运行比较慢的函数，来优化代码，就需要 阅读全文

摘要： 一、函数是什么？ 函数一词来源于数学，但编程中的「函数」概念，与数学中的函数是有很大不同的，编程中的函数在英文中也有很多不同的叫法。在BASIC中叫做subroutine(子过程或子程序)，在Pascal中叫做procedure(过程)和function，在C中只有function，在Java里面叫 阅读全文

摘要： XPATH注入 Xml路径语言，是一种用于导航xml文档并从中获取数据的解释型语言。许多时候，一个XPath表达式代表由一个文档节点导航到另一个文档节点所需要的一系列步骤。如果web应用程序将数据保存在xml中，那么可能就需要用XPath访问数据。如果这个输入未经过任何过滤净化就插入到查询中，攻击者 阅读全文

摘要： SQL注入 几乎每一个web应用都需要使用数据库来保存操作所需的各种信息，所以web程序经常会建立用户提交的数据的SQL语句。如果，建立这种语句的方法不安全，那么应用程序就很容易受到SQL注入的攻击。最严重的情况下，攻击者可利用SQL注入读取甚至修改数据库中保存的所有数据。 由于互联网行业的入门门槛 阅读全文

摘要： 会话管理： 绝大多数Web应用程序中，会话管理机制是一个基本的安全组件。它帮助应用程序从大量不同的请求中确认特定的用户，并处理它收集的关于用户与应用程序交互状态的数据。会话管理在应用程序执行登录功能时显得特别重要，因为它可在用户通过请求提交他们的证书后，持续向应用程序保证任何特定用户身份的真实性。 阅读全文

摘要： session session机制是一种服务器端的机制，服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。•但程序需要为某个客户端的请求创建一个session的时候，服务器首先检查这个客户端的请求里是否包含了一个session标识－称为session id,如果已经包含一个sess 阅读全文

摘要： 一 绕过客户端控件 应用程序依靠客户端控件限制用户表现：1.通过客户端组件，使用某种它认为可以防止用户修改的机制传送数据。2.在客户端执行保护措施，控制用户与客户端的交互，从而对功能实现限制。 中心:抓包处理 方法:1.绕过客户端的校验 2.绕过客户端响应 二、’客户端控件一般可以攻击的包括一下几个 阅读全文

摘要： 前些日子压测我们系统，发现我们开发把cookie值当成一个参数返回到了json中，这样就要从json中获取这个cookie后配置到cookie 管理器中 Jmeter中本身是不支持直接处理json串的，如果要获取到返回结果中指定的值，必须要要通过正则表达式来获取到，正则表达式比较麻烦，写错了就获取不 阅读全文

摘要： 对文件的操作分三步： 1、打开文件获取文件的句柄，句柄就理解为这个文件 2、通过文件句柄操作文件 3、关闭文件。 文件基本操作： 打开文件时，需要指定文件路径和以何等方式打开文件，打开后，即可获取该文件句柄，后面通过此文件句柄对该文件操作， 打开文件的模式有： "+" 表示可以同时读写某个文件 "U 阅读全文

摘要： 浏览器设置; 拦截请求： Spider 伪造请求: 对这个url 伪造请求 拦截一个页面后，进入攻击模块 sniper 两个参数值 保证一个不变 另一个 进行枚举 battering ram 两个参数值，保证两个参数值相等 用相同的一个list （用户名与密码相同） pitchfork 两个参数，分 阅读全文