06 2023 档案
摘要:漏洞介绍 现在很多应用提供了导出电子表格的功能(不限于 Web 应用),导出表格的功能可能会导致注入命令的风险,因为导出的表格数据有很多是来自于用户控制的,如:投票应用、邮箱导出。攻击方式类似于 XSS :所有的输入都是不可信的。利用CSV注入,可以执行任意系统命令,可导致用户数据泄露等风险。 漏洞
阅读全文
摘要:这里的扩展指的是通用Mapper没有提供的功能,如批量 update。 例子:类似于生成下面这样的SQL语句: UPDATE tabple_emp SET emp_name=?,emp_age=?,emp_salary=? where emp_id=? ; UPDATE tabple_emp SET
阅读全文
摘要:QBC查询Query By Criteria。Criteria 是 Criterion 的复数形式。意思是:规则、标准、准则。在 SQL 语句中相当于查询条件。QBC 查询是将查询条件通过 Java 对象进行模块化封装。 Example简单介绍 其实就是一个工具,自动帮你生成对应的代码1.examp
阅读全文
摘要:java简单Web服务器 Simple Web Server,是这次Java 18推出的一个比较独立的全新功能点。我们可以通过命令行工具来启动一个提供静态资源访问的迷你Web服务器。 构建目的是应用于测试与教学,不是为了替代Jetty、Nginx等高级服务器 不提供身份验证、访问控制或加密等安全功能
阅读全文
摘要:一、常规抓包 1.常规环境网上的教程很多。就是在家里,自己的电脑和手机连接同一个路由器(如TP-LINK),二者网络可以ping通。 2.手机WIFI配置代理(指向抓包机器):手机代理和burp上配置的一致。 3.此时如果app(如浏览器)使用http(s)连接网络,就会被代理到我们的电脑。如果访问
阅读全文
摘要:一、PC安装frida和frida-tools pip install frida 或者pip install frida==16.0.18pip install frida-tools 或者pip install frida-tools==12.1.2卸载pip uninstall fridapi
阅读全文
摘要:ADB ADB 全称为 Android Debug Bridge,起到调试桥的作用,是一个客户端-服务器端程序。其中客户端是用来操作的电脑,服务端是 Android 设备。ADB 也是 Android SDK 中的一个工具,可以直接操作管理 Android 模拟器或者真实的 Android 设备。
阅读全文
