上一页 1 ··· 6 7 8 9 10 11 12 下一页
摘要: 做个笔记吧,某SQL注入点的绕过,有阿里云waf的。 首先遇到是个搜索框的注入点: 演示下: 针对搜索框,我们的sql语句一般是怎么写的? 本地演示:select * from product where pname like '%华为%' 我们如何进行注入判断? select * from pro 阅读全文
posted @ 2018-11-29 18:51 飘渺红尘✨ 阅读(3276) 评论(0) 推荐(0) 编辑
摘要: 看了很长时间的漏洞奖励计划,学到了不少骚姿势,我觉得这个姿势很不错,总结下写篇文章发出来。针对CRLF漏洞打cookie的方法。 这里不讲概念挖掘方式了,以实战为主: 阅读文章前先参考文章:http://www.ruanyifeng.com/blog/2016/04/cors.html 这篇文章对C 阅读全文
posted @ 2018-09-30 20:42 飘渺红尘✨ 阅读(1425) 评论(0) 推荐(0) 编辑
摘要: JavaWeb之商品查看后历史记录代码实现全过程解析。 历史记录思路图: 假设已经访问了商品 :1-2-3 那么历史记录就是1-2-3,如果访问了商品8,那么历史记录就是:8-1-2-3,如果再次访问3那么历史记录就是:3-8-1-2。 当历史记录中存在了商品3,再次访问商品3,将会删除之前的历史记 阅读全文
posted @ 2018-08-27 16:52 飘渺红尘✨ 阅读(1832) 评论(2) 推荐(1) 编辑
摘要: 学习Web安全好几年了,接触最多的是Sql注入,一直最不熟悉的也是Sql注入。OWASP中,Sql注入危害绝对是Top1。花了一点时间研究了下Mysql类型的注入。 文章中的tips将会持续更新,先说说这些天研究的 这里博主以数字类型注入类型进行讲解,字符类型同理,这里不在敖述。 我们的环境:php 阅读全文
posted @ 2018-08-23 20:14 飘渺红尘✨ 阅读(2144) 评论(0) 推荐(3) 编辑
摘要: JDK自带的Proxy动态代理两种实现方式 前提条件:JDK Proxy必须实现对象接口 so,创建一个接口文件,一个实现接口对象,一个动态代理文件 接口文件:TargetInterface.java 实现接口对象的Class文件:Target.java 动态代理的两种实现方式 1.ProxyTes 阅读全文
posted @ 2018-07-13 17:18 飘渺红尘✨ 阅读(10756) 评论(1) 推荐(0) 编辑
摘要: 很多情况因为过滤不严导致很多网站存在sql注入,这里以用户登陆为例,简单举例 首先创建一个测试的数据库 比较基础,不写创建过程了 java代码如下: 运行 输入正确账号密码可以登陆成功。这里可以被绕过。 很显然这是万能密码。那么如何去修复sql注入呢,这里比较好的方法是采用预编译的开发方式,这是个开 阅读全文
posted @ 2018-05-28 23:00 飘渺红尘✨ 阅读(5020) 评论(0) 推荐(1) 编辑
摘要: 技术实在是有限,讲解cookie越权的时候可能有点简单和粗糙。这里就简单记录学习下。 首先自己写一段存在漏洞的代码code: sendCookie.java 然后接收cookie中的键值,然后进行判断 先访问sendCookie然后访问getCookie: 默认是进入admin系统 因为cookie 阅读全文
posted @ 2018-05-28 22:34 飘渺红尘✨ 阅读(7497) 评论(0) 推荐(0) 编辑
摘要: 从Java的角度谈下文件下载漏洞的产生,然后到他的修复方案。这里我的修复方案是白名单,而没有采用黑名单的方式。 首先先看一段存在文件下载漏洞的代码code: HTML视图页面 download.html 服务器端验证文件下载代码: downloadServlet2.java代码如下: 这段代码是是存 阅读全文
posted @ 2018-05-28 22:07 飘渺红尘✨ 阅读(2604) 评论(0) 推荐(0) 编辑
摘要: 漏洞挖掘中,说实话挖过最多的漏洞就属CSRF漏洞了,提交CSRF漏洞很多次,绕过CSRF防御进行攻击也有很多次。CSRF漏洞是一个很容易引发的问题,今天我从Java的角度来说下这个安全漏洞的修复方案。 这里不谈挖掘方式,只谈修复方案。 很多时候你很熟悉一种安全漏洞,但是涉及到的修复方案你只能大概讲下 阅读全文
posted @ 2018-05-22 22:33 飘渺红尘✨ 阅读(1848) 评论(0) 推荐(0) 编辑
摘要: 学习javaweb遇到了一些坑,一些问题总结下来,记个笔记。 学习servlet遇到的一些坑: servlet实现用户登陆遇到的坑解决办法: https://www.cnblogs.com/swxj/archive/2013/06/05/3119206.html 打开配置选择server runti 阅读全文
posted @ 2018-05-22 21:21 飘渺红尘✨ 阅读(861) 评论(0) 推荐(0) 编辑
上一页 1 ··· 6 7 8 9 10 11 12 下一页
Title