摘要:
浏览器在解析HTML时,是按照一定的格式和编码来解析的,为了不扰乱HTML结构,有HTML编码(比如:<对应<);为了 不扰乱JS的语法,有JS编码(比如:'对应\'),为了正常解析URL,有URL编码(比如:&对应%26)。总结起来也就三类,但是有不同的 编码形式。 HTML编码 HTML编 阅读全文
摘要:
sqlmap sqlmap安装 一款用于sql注入漏洞检测的工具 官网:http://sqlmap.org/ 把压缩包解压,重命名,放在安装的Python根目录下,并且配置环境变量(sqlmap高版本已支持python3,全都下载最新版就行): C:\Python\Python38\sqlmap 打 阅读全文
摘要:
CRLF注入 【漏洞介绍】 CRLF注入可以将一条合法日志拆分成两条,甚至多条,使得日志内容令人误解,对日志审计造成很大的困难。 或者将HTTP消息头注入恶意换行,造成会话固定、不安全重定向和XSS漏洞。 【漏洞原理】 CRLF的含义 是“carriage return/line feed”,意思就 阅读全文
摘要:
HTML请求状态代码 1xx(临时响应) 表示临时响应并需要请求者继续执行操作的状态码。 100(继续)请求者应当继续提出请求。服务器返回此代码表示已收到请求的第一部分,正在等待其余部分。 101(切换协议)请求者已要求服务器切换协议,服务器已确认并准备切换。 2xx (成功) 表示成功处理了请求的 阅读全文
摘要:
xml基础知识要了解xxe漏洞,那么一定得先明白基础知识,了解xml文档的基础组成。XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素xml文档的构建模块所 阅读全文
摘要:
跨站点请求伪造(CSRF) 跨站点请求伪造(CSRF)是一种欺骗受害者用户提交恶意请求的攻击。它继承了受害者的身份和特权,代表受害者执行不在预期范围内的功能。对于大多数站点,浏览器会自动请求包括与站点关联的任何凭据,例如用户的会话cookie,IP地址,Windows域凭据等。因此,如果用户当前已对 阅读全文
摘要:
JWT(JSON Web Token) 组成部分 JWT由以下三部分组成: Header(头部)Payload(负载)Signature(签名) 即: Header.Payload.Signature Header Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。 阅读全文
摘要:
Wireshark简单使用介绍 (1)Frame: 物理层的数据帧概况 (2)Ethernet II: 数据链路层以太网帧头部信息 (3)Internet Protocol Version 4: 互联网层IP包头部信息 (4)Transmission Control Protocol: 传输层T的数 阅读全文
摘要:
跨站脚本(英语:Cross-site scripting,通常简称为:XSS) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script 阅读全文
摘要:
正则表达式 常见匹配 ? 通配符匹配文件名中的 0 个或 1 个字符,,表示该匹配单元可以连续存在零个或1个* 通配符匹配零个或多个字符,表示该匹配单元可以连续存在零个或多个,如:[0-9]* 123abcd中有6处匹配,因为在匹配a b c d这些字符时算0个+ 匹配一个或者多个,表示该匹配单元必 阅读全文
摘要:
代码注入常用方法: 1:Runtime Runtime.getRuntime().exec("calc"); 反射: Class.forName("java.lang.Runtime").getMethod("exec", String.class).invoke(Class.forName("ja 阅读全文
摘要:
SQL注入测试方式 【有回显SQL注入】 判断注入类型:由于输入的数据 id 是数字,我们并不知道服务器将 id 的值认为是字符还是数字,因此我们需要先来判断是数字型注入还是字符型注入(虽然从源码看得出来)。当输入的参数为字符串时就称该 SQL 注入为字符型,当输入的参数为数字时就称该 SQL 注入 阅读全文
摘要:
1. 过滤器跟拦截器的区别 (1)过滤器(Filter):用户请求进入Controller层之前进行过滤。 (2)拦截器(Interceptor):用户请求进入Controller层之后,进入方法之前拦截。 2. spring中的拦截器 在web开发中,拦截器是经常用到的功能。它可以帮我们验证是否登 阅读全文
摘要:
Linux命令 Linux目录含义 对比windows/bin 所有用户可用的基本命令存放的位置 windows没有固定的命令存放目录/sbin 需要管理员权限才能使用的命令 /boot linux系统启动的时候需要加载和使用的文件 /dev 外设连接linux后,对应的文件存放的位置 类似Wind 阅读全文