java文件压缩与解压
摘要:感谢“zlex.dongliang@gmail.com”。主要代码如下:
阅读全文
posted @
2018-10-22 20:20
studyskill
阅读(1390)
推荐(0) 编辑
常见Java库漏洞汇总
摘要:1.ActiveMQ 反序列化漏洞(CVE-2015-5254) ref:https://www.nanoxika.com/?p=408 Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等
阅读全文
posted @
2018-10-08 17:23
studyskill
阅读(8019)
推荐(0) 编辑
ref:Spring JDBC框架
摘要:ref:https://blog.csdn.net/u011054333/article/details/54772491 Spring JDBC简介 先来看看一个JDBC的例子。我们可以看到为了执行一条SQL语句,我们需要创建连接,创建语句对象,然后执行SQL,然后操纵结果集获取数据。 try(C
阅读全文
posted @
2018-09-13 15:59
studyskill
阅读(673)
推荐(0) 编辑
ref:web 防止SQL注入方法
摘要:ref:https://blog.csdn.net/beidou321/article/details/6482618 小结:spring采用JdbcTemplate来操作sql,一般不要自行拼接sql,而是使用参数化的构造方式,则不会存在注入问题。 SQL注入往往是在程序员编写包含用户输入的动态数
阅读全文
posted @
2018-09-13 14:50
studyskill
阅读(324)
推荐(0) 编辑
ref:spring配置数据库方式
摘要:ref:https://blog.csdn.net/alsyuan/article/details/73239240 1、使用org.springframework.jdbc.datasource.DriverManagerDataSource 说明:DriverManagerDataSource建
阅读全文
posted @
2018-09-13 11:33
studyskill
阅读(197)
推荐(0) 编辑
ref:Spring JdbcTemplate+JdbcDaoSupport实例
摘要:ref:https://www.yiibai.com/spring/spring-jdbctemplate-jdbcdaosupport-examples.html 在Spring JDBC开发中,可以使用 JdbcTemplate 和 JdbcDaoSupport 类来简化整个数据库的操作过程。
阅读全文
posted @
2018-09-13 11:16
studyskill
阅读(295)
推荐(0) 编辑
ref:JAVA之Forward和Redirect的区别
摘要:ref:https://www.cnblogs.com/selene/p/4518246.html 阅读目录 一:间接请求转发(Redirect) 二:直接请求转发(Forward) 阅读目录 一:间接请求转发(Redirect) 二:直接请求转发(Forward) 用户向服务器发送了一次HTTP请
阅读全文
posted @
2018-08-30 16:59
studyskill
阅读(260)
推荐(0) 编辑
ref:下一个项目为什么要用 SLF4J
摘要:ref:http://blog.mayongfa.cn/267.html 阿里巴巴 Java 开发手册 前几天阿里巴巴在云栖社区首次公开阿里官方Java代码规范标准,就是一个PDF手册,有命名规范,让你知道自己原来取的每一个类名、变量名都是烂名字,真替你家未来孩子担心;有集合处理、并发处理、OOM/
阅读全文
posted @
2018-08-30 08:56
studyskill
阅读(232)
推荐(0) 编辑
ref:如何将自定义异常的信息显示在jsp页面上
摘要:ref:https://blog.csdn.net/tao_ssh/article/details/53486449 在项目中,经常会抛出异常,输出比较友好的信息来提示用户,并指导用户行为。大体思路:首先自定义一个异常类MyException,继承RuntimeException,定义一些变量和对应
阅读全文
posted @
2018-08-29 09:25
studyskill
阅读(460)
推荐(0) 编辑
ref:关于JAVA中一些安全漏洞示例说明及如何规避方法代码示例总结分享
摘要:ref:http://www.xwood.net/_site_domain_/_root/5870/5874/t_c268166.html 标签:安全,漏洞,健壮,java,SQL注入,SS及CSRF,命令注入,线程安全 发布时间:2017-09-16 一、前言 这边通过工作整理一些常见安全漏洞及解
阅读全文
posted @
2018-07-11 11:47
studyskill
阅读(1741)
推荐(0) 编辑
ref:如何在大量jar包中搜索特定字符
摘要:ref:https://www.cnblogs.com/jiangxinnju/p/5137760.html?utm_source=tuicool&utm_medium=referral 如何在大量jar包中搜索特定字符 如果在jar包只搜索文件名呢?例如搜索一个类文件在哪个jar包里面 欢迎关注我
阅读全文
posted @
2018-06-26 08:35
studyskill
阅读(215)
推荐(0) 编辑
ref:Struts2 命令执行系列回顾
摘要:ref:http://www.zerokeeper.com/vul-analysis/struts2-command-execution-series-review.html Struts2 命令执行系列回顾 Jun 05,2017 in 漏洞分析 lang 繁 read (3897) 一直都想分析
阅读全文
posted @
2018-06-21 09:17
studyskill
阅读(1217)
推荐(0) 编辑
Java反序列化漏洞之殇
摘要:ref:https://xz.aliyun.com/t/2043 小结: 3.2.2版本之前的Apache-CommonsCollections存在该漏洞(不只该包)1.漏洞触发场景 在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景: 1)HTTP请求中的参数
阅读全文
posted @
2018-06-21 09:14
studyskill
阅读(4052)
推荐(0) 编辑
ref:JAVA代码审计的一些Tips(附脚本)
摘要:ref:https://xz.aliyun.com/t/1633/ JAVA代码审计的一些Tips(附脚本) 概述 本文重点介绍JAVA安全编码与代码审计基础知识,会以漏洞及安全编码示例的方式介绍JAVA代码中常见Web漏洞的形成及相应的修复方案,同时对一些常见的漏洞函数进行例举。文章最后分享一个自
阅读全文
posted @
2018-06-21 09:08
studyskill
阅读(901)
推荐(0) 编辑
ref:Spring Integration Zip 不安全解压(CVE-2018-1261)漏洞分析
摘要:ref:https://mp.weixin.qq.com/s/SJPXdZWNKypvWmL-roIE0Q 0x00 漏洞概览 漏洞名称:Spring Integration Zip不安全解压 漏洞编号:CVE-2018-1261 漏洞级别:严重(官方定级,比高危还高) 漏洞危害:在spring-i
阅读全文
posted @
2018-06-13 15:11
studyskill
阅读(350)
推荐(0) 编辑
ref:spring-data-XMLBean XXE复现分析
摘要:ref:https://blog.spoock.com/2018/05/16/cve-2018-1259/ 漏洞信息 看pivotal发布的漏洞信息如下 通过发布的漏洞信息可以知道,漏洞组件是在XMLBeam1.4.14或者是更早的版本,主要原因是没有限制XML文件外部实体引用。而Spring Da
阅读全文
posted @
2018-06-13 15:08
studyskill
阅读(272)
推荐(0) 编辑
ref:一种新的攻击方法——Java Web表达式注入
摘要:ref:https://blog.csdn.net/kk_gods/article/details/51840683 一种新的攻击方法——Java Web表达式注入 ref:https://blog.csdn.net/kk_gods/article/details/51840683 一种新的攻击方法
阅读全文
posted @
2018-06-13 10:31
studyskill
阅读(791)
推荐(0) 编辑
ref:Java安全之反序列化漏洞分析(简单-朴实)
摘要:ref:https://mp.weixin.qq.com/s?__biz=MzIzMzgxOTQ5NA==&mid=2247484200&idx=1&sn=8f3201f44e6374d65589d00d91f7148e readme:其实所有的反序列化漏洞都是因为在反序列化过程中,执行函数存在文件
阅读全文
posted @
2018-05-14 08:52
studyskill
阅读(495)
推荐(0) 编辑