随笔分类 - 知识点
当安全遇到java
摘要:标题是随便取的 今天看到有篇文章写的是关于java的xss,文中还提到了一个面试题,刚好我曾经也被问到过这个问题。让我不禁想起以往遇到的一些和java相关的安全面试题。 现如今,很多大甲方,由于自己系统大部分都是java写的,所以他招安全人员时,都会提到熟悉java或java代码审计 加分。 那么既
阅读全文
Git使用之pull request
摘要:一直对git的使用都不熟,由于工作需要经常需要在github上pull request,第一次还是有些麻烦的,写个笔记记录下 1. fork源项目到自己的github仓库中 fork之后自己也会多出一个一样的Repository 2.将自己Github上的Repository 拉到本地 2.1 本地
阅读全文
Openrasp源码分析
摘要:Openrasp是百度关于rasp技术的开源项目,由于工作需要,之前对rasp的源码进行了简单的分析。文章是之前就写好的,现在放出了,希望对大家有写帮助。 OpenRASP中java引擎的源码分析 安装包解压后目录结构如下: RaspInstall.jar是OpenRASP中java引擎的安装(卸载
阅读全文
Mybatis下的sql注入
摘要:以前只知道mybatis框架下,order by后面接的是列名是不能用#{},这样不起效果,只能用${},这样的话就可能产生sql注入。后来发现其实还有另外两种情况也是类似的: 1.order by ${} asc 像这种情况最好的办法是在java层面上做映射,比如说用户只能输入1-5,然后在代码层
阅读全文
python类中的内置函数
摘要:__init__():__init__方法在类的一个对象被建立时,马上运行。这个方法可以用来对你的对象做一些你希望的初始化。注意,这个名称的开始和结尾都是双下划线。代码例子: p = Person('Swaroop')p.sayHi() 输出:Hello, my name is Swaroop 说明
阅读全文
编译原理的一些小知识
摘要:最近在看open rasp,看源码的时候涉及到一些编译原理的知识,花了半天时间了解了一下。 JVM最主要的功能就是为了让java程序在任意平台上运行,也就是java语言的最重要的特性:平台无关性。 Java代码编译和执行的过程:(javac命令用于编译java文件成为class文件,java命令用于
阅读全文
JWT
摘要:所谓JWT也就是json web token,现在多用于用户认证。 传统的cookie加session认证流程如下: 1.用户输入账号密码,发送给服务器 2.服务器验证账号密码成功后,创建一个会话(Session),同时将这个会话(Session)的SessionID存于客户端(Cookie)中,然
阅读全文
