上传漏洞
1.实验环境目标靶机:OWASP_Broken_Web_Apps_VM_1.2下载地址我们还需要中国菜刀和kali这两个工具,把所有的杀毒软件关了,不然中国菜刀可能会被杀毒软件和谐。实验原理1、文件上传(File Upload)是大部分Web应用都具备的功能,例如用户上传附件、修改头像、分享图片/视频等2、正常的文件一般是文档、...
2024-01-10XXE漏洞
0x00 什么是XML1.定义XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。2.文档结构XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元...
2024-01-10网吧密码忘了怎么查询?
网吧上网,密码忘了,怎么办?综述网吧上网,密码忘了可以修改,方法如下:1.网吧、网咖改去你最近网吧,上网忘记密码,工作人员会协作您改。2.联系网安支队简单粗暴的办法,联系当地公安局网安支队,说明情况后,公安局网安支队帮你操作改密码。3.91913平台91913安全上网密码平台,借助平台自...
2024-01-10移动服务密码忘了怎么查询?怎么修改密码?
普通人平时很少会去打移动的客服电话,但是打了之后如果要求有一些操作,那么你是需要提供服务密码的。因为太久没有使用过,早就忘记了服务密码了,那么服务密码怎么修改呢? 移动服务密码的密码怎么修改: 1、编辑“修改密码”短信发送到10086.收到回复短信后,按照短信要求编...
2024-01-10通达OA权限提升漏洞通告
0x00 漏洞背景2020年04月22日, 360CERT监测发现 通达OA官方 发布了编号为 11.5.200417 的更新通告,此次更新修复了一枚权限提升漏洞,漏洞等级:高危。通达OA是由北京通达信科科技有限公司研发的一款通用型OA产品,涵盖了个人事务、行政办公、流程审批、知识管理、人力资源管理、组织机构管理等...
2024-01-10通达OA漏洞学习
说明通达OA漏洞在去年上半年已爆出,这不趁着周末没事做,将源码下载下来进行复现学习。文件包含测试文件包含检测,payload1:ip/ispirit/interface/gateway.php?json={"url":"/general/../../mysql5/my.ini"}利用文件包含访问mysql.ini,检查是否有某些特定字符串 ,比如innodb_log_group_home_dirpayload2:ip/ispirit/interface/gatew...
2024-01-10WebKit 浏览器漏洞面面观
作者:启明星辰ADLab1. 前言WebKit 是一个开源的浏览器引擎,不仅应用在很多主流浏览器(Safari,Chrome,UCbrowser,QQBrowser等)上,而且支持Android,iOS,Windows,Linux,macOS等多种平台上的有关web渲染引擎的应用。启明星辰ADLab对WebKit引擎进行漏洞挖掘和代码审计工作,发现webkit的若干漏洞,都已提交厂商...
2024-01-10DWVA关于SQL注入的漏洞详解
low等级代码如下: 1 <?php 2 3 if( isset( $_REQUEST[ "Submit" ] ) ) { 4 // Get input 5 $id = $_REQUEST[ "id" ]; 6 7 // Check database 8 $query = "SELECT first_name, last_name FROM users WHERE user_id = "$id";"; 9 $result = mysqli_query($GL...
2024-01-10伏尔加河注入哪里
伏尔加河是欧洲最长的河流之一,它流经了多个国家。在这些国家中,最重要的是俄罗斯联邦。伏尔加河从哪里流入俄罗斯呢?1、伏尔加河的起源伏尔加河从瓦尔代海拔160米处的帕梅拉山脉的一条小河——维西纳河源头开始流淌。在源头出现的第一段河流中,它被称为香槟河。随着香槟河不断向南流...
2024-01-10Nuxt页面级缓存的实现
虽然 Vue 的服务器端渲染 (SSR) 相当快速,但是由于需要为每次请求为了避免交叉请求状态污染,都创建一个新的根Vue实例,创建组件实例和虚拟 DOM 节点的开销,无法与纯基于字符串拼接的模板的性能相当。在 SSR 性能至关重要的情况下,明智地利用缓存策略,可以极大改善响应时间并减少服务器负载...
2024-01-10Linux 磁盘分区管理
一、系统分区情况使用 fdisk 命令查看当前磁盘情况fdisk -l二、建立分区可以看到,磁盘/dev/sdb没有使用,现在尝试用fdisk在没有使用的磁盘/dev/sdb上进行分区,先查看分区情况,然后建立一个100M大小的初级分区,将分区表写入磁盘并退出# fdisk /dev/sdb......三、格式化分区磁盘多了个sdb1分区。仅进...
2024-01-10Linux 中如何切换相同程序的不同版本
几天前,我们曾经讨论如何 如何在不同的 PHP 版本之间进行切换 。在那篇文章中,我们使用 update-alternatives 命令实现从一个 PHP 版本切换到另一个 PHP 版本。也就是说, update-alternatives 命令可以将 系统范围 system wide 默认使用的 PHP 版本设置为我们希望的版本。通俗的来说,你可以通过 update-alternatives 命...
2024-01-10详解Supervisor安装与配置(Linux/Unix进程管理工具)
Supervisor(http://supervisord.org/)是用Python开发的一个client/server服务,是Linux/Unix系统下的一个进程管理工具,不支持Windows系统。它可以很方便的监听、启动、停止、重启一个或多个进程。用Supervisor管理的进程,当一个进程意外被杀死,supervisort监听到进程死后,会自动将它重新拉起,很方便的做到进程自...
2024-01-10php微信公众号开发之关键词回复
本文实例为大家分享了php微信公众号开发之关键词回复的具体代码,供大家参考,具体内容如下目标:消息回复关键词回复utf8编码index.php<?php/** * wechat php test *///define your tokendefine("TOKEN", "jiekou");$wechatObj = new wechatCallbackapiTest();$wechatObj->responseMsg();class wechatCallbackapiTest{ public functio...
2024-01-10详解react应用中的DOM DIFF算法
目录前言什么是Virtual DOM?使用Virtual DOM的原因DOM 渲染页面的操作流程Virtual DOM的优势如何将DOM用virtual DOM 来表示DOM DIFF算法Diff 策略Diff 粒度打补丁前言对我们搞前端的来说,目前最流行的两大前端框架毫无疑问当属React和Vue,对于这两大框架,想必大家也是再熟悉不过了。然而,这两大框架无一例外的...
2024-01-10javascript实现时钟动画
本文实例为大家分享了javascript实现时钟动画的具体代码,供大家参考,具体内容如下<!DOCTYPE html><html><head lang="en"> <meta charset="UTF-8"> <title>时针转动</title> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <style> * { margin: 0; padding: 0; } ...
2024-01-10three.js着色器材质的内置变量示例详解
什么是着色器?固定渲染管线: ——标准的几何&光照(T&L)管线,功能是固定的,它控制着世界、视、投影变换及固定光照控制和纹理混合。T&L管线可以被渲染状态控制,矩阵,光照和采制参数。如果有了固定渲染管线,编写程序就比较容易了,因为所有的变换都是由固定渲染管线来完成的,但是缺点...
2024-01-10在vue-cli创建的项目中使用sass操作
安装sass-loader node-sasscnpm install sass-loader node-sass -D-D是--save-dev的缩写安装之后有的会报错:this.getReslove is not a function....这时因为sass-loader的版本太高的原因,在package.json 长修改sass-loader的版本低于8.0,删除node_modules文件加,重新安装就ok了补充知识:vue-cli的项目 style lang="scss" 写 scss样式报错报错...
2024-01-10JVM 心得 OOM时的堆信息获取方法与分析
JVM的框架知识了解之后,实际的项目里发生了OOM异常的话,怎么获取以及分析异常信息后怎么分析呢。这里稍微做一下归纳。第一步,首先通过下面两个方法的任何一种,把发生OOM时的heap信息dump下来。有两个方法,通过设置可以把OOM时的dump信息获取到:1)方法1:在JVM的启动参数里添加如下命令-X...
2024-01-10详解关于Spring Cloud 框架热部署的方法
摘要: 所谓热部署,就是在应用正在运行的时候升级软件,却不需要重新启动应用。对于Java应用程序来说,热部署就是在运行时更新Java类文件。1、在对应的pom.xml 文件中添加依赖<!--热部署功能-添加依赖 by libingbin2015@aliyun.com --><dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-devtools<...
2024-01-10Java新特性之Nashorn_动力节点Java学院整理
Nashorn是什么Nashorn,发音“nass-horn”,是德国二战时一个坦克的命名,同时也是java8新一代的javascript引擎--替代老旧,缓慢的Rhino,符合 ECMAScript-262 5.1 版语言规范。你可能想javascript是运行在web浏览器,提供对html各种dom操作,但是Nashorn不支持浏览器DOM的对象。这个需要注意的一个点。关于Nashorn的入门...
2024-01-10Java中JDBC事务与JTA分布式事务总结与区别
Java事务的类型有三种:JDBC事务、JTA(Java Transaction API)事务、容器事务。常见的容器事务如Spring事务,容器事务主要是J2EE应用服务器提供的,容器事务大多是基于JTA完成,这是一个基于JNDI的,相当复杂的API实现。所以本文暂不讨论容器事务。本文主要介绍J2EE开发中两个比较基本的事务:JDBC事务和JTA事...
2024-01-10Log4j不同模块输出到不同的文件中
1、实现目标 不同业务的日志信息需要打印到不同的文件中,每天或者每个小时生成一个文件。如,注册的信息打印到register.log,每天凌晨生成一个register-年月日.log文件, 登录信息的日志打印到一个login.log文件中,login-年月日.log。2、maven配置<?xml version="1.0" encoding="UTF-8"?><project xmlns="http://mave...
2024-01-10从内存地址解析Java的static关键字的作用
静态成员变量与非静态成员变量的区别 以下面的例子为例说明package cn.galc.test;public class Cat { /** * 静态成员变量 */ private static int sid = 0; private String name; int id; Cat(String name) { this.name = name; id = sid++; } public void info() { System.out.println("My...
2024-01-10使用Java8实现观察者模式的方法(上)
观察者(Observer)模式又名发布-订阅(Publish/Subscribe)模式,是四人组(GoF,即 Erich Gamma、Richard Helm、Ralph Johnson 和 John Vlissides)在1994合著的《设计模式:可复用面向对象软件的基础》中提出的(详见书中293-313页)。尽管这种模式已经有相当长的历史,它仍然广泛适用于各种场景,甚至成为了标准Java库...
2024-01-10关于java编译过程中的bug说明
今天组内兄弟提交代码 我更新以后发现编译通过不了异常信息如下:The method getPOIByName(String) of type POISearchByGeoway must override a superclass method这玩意儿我之前遇到过,于是想写博客记之,以飨来者!ok 解决方案如下:1、右键项目>Build Path>Configure Build Path >> JAVA Compiler 修改Compiler Compliance level 改为1.6 (Ove...
2024-01-10J2SE 6 在国际化方面的增强
对国际化和本地化的支持是Java 标准版一个长处。 Java SE 6 一如既往地为那些注重本地化资源访问和操作的应用程序开发者提供支持。Java SE 6在以下几方面为本地化作了加强: .资源的访问和控制 .针对本地化的服务 .归一化文本 .国际域名 .日本国的日历 .新增locales 资源访问和控制---...
2024-01-10Android 进程间通信与逆向分析
作者:evilpan原文链接:https://evilpan.com/2020/07/11/android-ipc-tips/最近在分析一个运行Android系统的IoT平台,其中包含设备管控和日志服务(Agent)、升级服务(FOTA)、自定义桌面(Launcher)、端上IDS以及前台的图形界面应用等多个前后台进程。在对其中某个功能进行逆向时发现调用链路跨越了多个应用,因此本文就...
2024-01-10避免“剁手”假货?区块链链上链下数据协同分析
作者:启明星辰ADLab公众号:https://mp.weixin.qq.com/s/W42B0oVm1NAR2FZpNaKPvw2019年10月24日,中共中央政治局就区块链技术发展现状和趋势进行第十八次集体学习,会议强调:“区块链技术的集成应用在新的技术革新和产业变革中起着重要作用。我们要把区块链作为核心技术自主创新的重要突破口,明确主攻方...
2024-01-10