摘要： 1、原理Struts2的核心是使用的webwork框架，处理action时通过调用底层的getter/setter方法来处理http的参数，它将每个http参数声明为一个ONGL（这里是ONGL的介绍）语句。当我们提交一个http参数：?user.address.city=Bishkek&user[... 阅读全文

摘要： procedure TForm1.FormCreate(Sender: TObject);begin form1.Caption:=form1.Caption +'+Create';end;procedure TForm1.FormActivate(Sender: TObject);begin fo... 阅读全文

摘要： 基础知识一、虚拟地址和偏移量转换 由于Windows程序是运行在386保护模式下，在保护模式下，程序访问存储器所使用的逻辑地址称为虚拟地址（Virual Address，VA）。与实地址模式下的分段地址类似，虚拟地址也可写成"段：偏移量"的形式，这里的段是指段选择器。 文件执行时将被映像到指定内... 阅读全文

摘要： 在过去的两个星期里，我已经在DEFCON22CTF里检测出了两个不同的问题：“shitsco”和“nonameyet”。感谢所有 的意见和评论，我遇到的最常见的问题是：“我怎么才能在CTFs里开始？”在不久前我问过自己一样的问题，所以我想要给出些对你追求CTFs的建议和资 源。最简单的方法就是注... 阅读全文

摘要： 《web之困：现代web应用安全指南》在web安全领域有“圣经”的美誉，在世界范围内被安全工作者和web从业人员广为称道，由来自google chrome浏览器团队的世界顶级黑客、国际一流安全专家撰写，是目前唯一深度探索现代web浏览器安全技术的专著。本书从浏览器设计的角度切入，以探讨浏览器的各... 阅读全文

摘要： ssrf攻击概述很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL，web应用可以获取图片，下载文件，读取文件内容等。这个功能如果被恶意使用，可以利用存在缺陷的web应用作为代理攻击远程和本地的服务器。这种形式的攻击称为服务端请求伪造攻击（Server-side Reques... 阅读全文

摘要： 许多Web应用程序提供的功能将数据从其他Web服务器，由于种种原因。下载XML提要，从远程服务器，Web应用程序可以使用用户指定的URL，获取图像，此功能可能会被滥用，使制作的查询使用易受攻击的Web应用程序作为代理运行在远程攻击其他服务的基于文本的文件等。 /本地服务器。通过这种滥用而产生的功能被... 阅读全文

摘要： 经常看到有些VB的例子中直接用个CreateObject就可调用系统功能（大多是COM对象），像用户设定，网络设定等等。虽然C#中可以通过使用VB的命名空间的方法来调用CreateObject函数，但是这样比较没什么用，因为生成的对象的所带有的方法都不能使用。C#中还可以直接用添加引用的方式来调用一... 阅读全文

摘要： .aspx文件：（页面）书写页面代码。存储的是页面design代码。只是放各个控件的代码，处理代码一般放在.cs文件中。 .aspx.cs文件：（代码隐藏页）书写类代码。存储的是程序代码。一般存放与数据库连接和数据库相关的查询。更新。删除操作，还有各个按钮单击后发生的动作等。 .aspx.desi... 阅读全文

摘要： XSScrapy是一个快速、直接的XSS漏洞检测爬虫，你只需要一个URL，它便可以帮助你发现XSS跨站脚本漏洞。XSScrapy的XSS漏洞攻击测试向量将会覆盖Http头中的Referer字段User-Agent字段Cookie表单（包括隐藏表单）URL参数RUL末尾，如www.example.co... 阅读全文