09 2020 档案
摘要:引言 记录一下XXE的学习要点。 XXE XXE (XML External Entity injection)XML 外部实体注入漏洞,如果XML 文件在引用外部实体时候,可以沟通构造恶意内容,可以导致读取任意文件,命令执行和对内网的攻击,这就是XXE漏洞。 所以在学习XXE漏洞之前需要先了解一下
阅读全文
摘要:Java反射机制 Java反射(Reflection)是Java非常重要的动态特性,通过使用反射我们不仅可以获取到任何类的成员方法(Methods)、成员变量(Fields)、构造方法(Constructors)等信息,还可以动态创建Java类实例、调用任意的类方法、修改任意的类成员变量值等。Jav
阅读全文
摘要:记录一下报错注入的几个函数和用法 报错注入常用的函数 函数 描述 extractvalue 使用XPath表示法从XML字符串中提取值 updatexml 返回替换的XML片段 extractvalue函数 ExtractValue(xml_frag, xpath_expr) ExtractValu
阅读全文
摘要:1.什么是序列化和反序列化? PHP的序列化就是将各种类型的数据对象转换成一定的格式存储,其目的是为了将一个对象通过可保存的字节方式存储起来这样就可以将学列化字节存储到数据库或者文本当中,当需要的时候再通过反序列化获取。 serialize() //实现变量的序列化,返回结果为字符串 unseria
阅读全文
摘要:引言 程序计数器 程序计数器(Program Counter Register,寄存器),Java源代码运行的第一步就是将源码编译成JVM指令,每一条指令都有对应的执行地址,JVM通过程序计数器来记住每条指令的下一个执行地址,这样就实现的程序代码的执行。 作用:是记住下一条jvm指令的执行地址 特点
阅读全文
摘要:最近在研究协议状态机,之前并没有接触过,写这篇文章记录一下协议状态机的要点。如果有什么错误的地方,还请各位大佬指正。 定义 有限状态机(finite-state machine,缩写FSM),又叫有限状态机自动机,简称状态机。是能够表示有限个状态以及这些状态之间的转移和动作等行为的数学模型。在计算机
阅读全文
摘要:最近学校做项目,项目需求中要求我们按照json文件的内容对流量进行处理,这篇文章简单记录一下json的结构和内容。 1.什么是json? JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。 易于人阅读和编写。同时也易于机器解析和生成。 它基于JavaScr
阅读全文
浙公网安备 33010602011771号