2023年4月23日
CODEQL使用简介
摘要: codeql codeql是一个可以对代码进行分析的引擎, 安全人员可以用它作为挖洞的辅助或者直接进行挖掘漏洞,节省进行重复操作的精力 下载: 解析引擎:https://github.com/github/codeql-cli-binaries/releases SDK(规则库):https://g 阅读全文
posted @ 2023-04-23 11:47 少年阿丁 阅读(403) 评论(0) 推荐(0) 编辑
MAVEN使用技巧
摘要: maven 常用命令 mvn -v //查看版本 mvn archetype:create //创建 Maven 项目 mvn compile //编译源代码 mvn test-compile //编译测试代码 mvn test //运行应用程序中的单元测试 mvn site //生成项目相关信息的 阅读全文
posted @ 2023-04-23 11:13 少年阿丁 阅读(48) 评论(0) 推荐(0) 编辑
2023年4月3日
Springboot与Springcloud
摘要: springboot介绍 其实springboot就是一个maven项目,只不过使用了spring提供的多个starter来加载多个相关依赖包,starter简单说就是maven包的组合。 比如:只需要一个web的starter包就能直接启动web服务 <dependency> <groupId>o 阅读全文
posted @ 2023-04-03 11:29 少年阿丁 阅读(76) 评论(0) 推荐(0) 编辑
2023年3月30日
springboot注册Servlet、Filter、Listener的方式
摘要: 方式一:注解 @WebServlet @WebFilter @WebListener 在实现类上使用该注解即可一键注册 方式二:配置类 在@Configuration标识的配置类中通过RegistrationBean进行注册 @Bean public ServletRegistrationBean 阅读全文
posted @ 2023-03-30 15:04 少年阿丁 阅读(11) 评论(0) 推荐(0) 编辑
2023年3月23日
浏览器编码与HTTP解码流程
摘要: 浏览器在解析HTML时,是按照一定的格式和编码来解析的,为了不扰乱HTML结构,有HTML编码(比如:<对应&lt;);为了 不扰乱JS的语法,有JS编码(比如:'对应\'),为了正常解析URL,有URL编码(比如:&对应%26)。总结起来也就三类,但是有不同的 编码形式。 HTML编码 HTML编 阅读全文
posted @ 2023-03-23 16:37 少年阿丁 阅读(167) 评论(0) 推荐(0) 编辑
sqlmap最新版安装和使用技巧(sql注入漏洞检测工具)
摘要: sqlmap sqlmap安装 一款用于sql注入漏洞检测的工具 官网:http://sqlmap.org/ 把压缩包解压,重命名,放在安装的Python根目录下,并且配置环境变量(sqlmap高版本已支持python3,全都下载最新版就行): C:\Python\Python38\sqlmap 打 阅读全文
posted @ 2023-03-23 16:29 少年阿丁 阅读(257) 评论(0) 推荐(0) 编辑
CRLF注入
摘要: CRLF注入 【漏洞介绍】 CRLF注入可以将一条合法日志拆分成两条,甚至多条,使得日志内容令人误解,对日志审计造成很大的困难。 或者将HTTP消息头注入恶意换行,造成会话固定、不安全重定向和XSS漏洞。 【漏洞原理】 CRLF的含义 是“carriage return/line feed”,意思就 阅读全文
posted @ 2023-03-23 16:27 少年阿丁 阅读(527) 评论(0) 推荐(0) 编辑
HTML请求状态代码
摘要: HTML请求状态代码 1xx(临时响应) 表示临时响应并需要请求者继续执行操作的状态码。 100(继续)请求者应当继续提出请求。服务器返回此代码表示已收到请求的第一部分,正在等待其余部分。 101(切换协议)请求者已要求服务器切换协议,服务器已确认并准备切换。 2xx (成功) 表示成功处理了请求的 阅读全文
posted @ 2023-03-23 16:25 少年阿丁 阅读(70) 评论(0) 推荐(0) 编辑
XXE外部实体攻击
摘要: xml基础知识要了解xxe漏洞,那么一定得先明白基础知识,了解xml文档的基础组成。XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素xml文档的构建模块所 阅读全文
posted @ 2023-03-23 16:23 少年阿丁 阅读(52) 评论(0) 推荐(0) 编辑
跨站点请求伪造(CSRF)
摘要: 跨站点请求伪造(CSRF) 跨站点请求伪造(CSRF)是一种欺骗受害者用户提交恶意请求的攻击。它继承了受害者的身份和特权,代表受害者执行不在预期范围内的功能。对于大多数站点,浏览器会自动请求包括与站点关联的任何凭据,例如用户的会话cookie,IP地址,Windows域凭据等。因此,如果用户当前已对 阅读全文
posted @ 2023-03-23 16:15 少年阿丁 阅读(304) 评论(0) 推荐(0) 编辑