Sep022021
Aug282021
57:代码审计-JAVA项目框架类漏洞分析报告
思维导图
案例1:过滤器及拦截器相关区别解释
过滤器&拦截器区别:
Filter是基于函数回调的,而Interceptor这是基于Java反射的。
Filter依赖于Servlet容器,而Interceptor不依赖于Servlet容器。
Filter对几乎所有的请求起作用,而Interceptor只能对action请求起作用。
Interceptor可以访问Action的上下文,值栈里的对象,而Filter不能。
最重要的要记住他们的执行顺序:先Filter后In...阅读全文
Aug282021
56:代码审计-JAVA项目Filter过滤器及XSS挖掘
思维导图
看构成,看指向,看配置,看代码–>寻绕过
web.xml查看Filter过滤器
名字,对应class,触发url,生效规则等
Filter是JavaWeb中的过滤器,用于过滤URL请求。通过Filter我们可以实现URL请求资源权限验证、用户登录检测等功能。
Filter是一个接口,实现一个Filter只需要重写init、doFilter、destroy方法即可,其中过滤逻辑都在doFilter方法中实现。
Filter和Servlet一样...阅读全文
Aug282021
55:代码审计-JAVA项目注入上传搜索或插件挖掘
思维导图
HttpServletRequest 常用方法
//方法 //说明
getParameter(String name) //获得请求中的参数,该参数是由name指定的
getParameterValues(String name) //返回请求中的参数值,该参数是由name指定的
getRealPath(String path) //获取web资源目录
getAttribute(String name) //返回name指定的属性值
getAttributeNames() //返回当前请求的所有属性的名字集合
getCookies() ...阅读全文
Aug262021
Metasploitable2 靶机漏洞
演示环境
1、靶机: Metasploitable2-Linux
IP:192.168.184.130
2、攻击机:Kali-Linux-2021.02-amd64
IP:192.168.184.128
扫描端口
系统弱密码登录
1、在kali上执行命令行telnet 192.168.184.130
2、Login和password都输入msfadmin
3、登录成功,进入系统
4、测试如下:
PostgreSQL弱密码登录
1、在Kali上执行psql -h 192.168.184.130 –U postgres
2、输入...阅读全文
Aug192021
43:漏洞发现-WEB应用之漏洞探针类型利用修复
思维导图
已知CMS
如常见的dedecms,discuz,wordpress等源码结构,这种一般采用非框架类开发,但是也有少部分采用框架类开发,针对此类源码程序的安全检测,我们要利用公开的漏洞进行测试,如不存在可采用白盒代码审计自行挖掘。
搜索漏洞公布平台,寻找单点EXP:
https://www.cnvd.org.cn/
https://www.seebug.org/
https://fr.0day.today/
https://www.exploit-db.com/
https://packe...阅读全文
Aug182021
Spring Boot应用中处理数据库读写分离的策略与实践
在处理数据库读写分离的场景下,Spring Boot提供了一些简单而强大的技术和工具来提高应用程序的性能和可伸缩性。本文将介绍在Spring Boot应用中实现数据库读写分离的策略和实践。
什么是数据库读写分离?
数据库读写分离是指在应用程序中,对于数据库操作分为读和写两种类型进行不同的处理。读操作主要是获取数据,并不修改数据;写操作则是对数据的修改或增删操作。通过将读操作和写操作...阅读全文
Aug172021
在Linux上配置和使用Tomcat服务器
Tomcat是一个开源的、轻量级的Java Servlet容器,它可以作为Web应用程序的服务器。在Linux上配置和使用Tomcat服务器可以让你轻松地部署和管理Java Web应用程序。
本文将介绍在Linux上配置和使用Tomcat服务器的步骤和注意事项。
步骤一:下载和安装Tomcat
首先,你需要在Linux系统上下载和安装Tomcat。你可以从Tomcat官方网站(https://tomcat.apache.org/)上找到最新的Tomcat版本。
下载...阅读全文
Aug052021
Java中的异步编程框架:Spring Async与Vert.x实战对比
引言
在日常的Java开发中,我们经常会遇到需要通过异步编程来提高程序的性能和响应能力的情况。而在Java中,有许多异步编程框架可以帮助我们处理这个问题。本文将重点介绍两个常用的异步编程框架:Spring Async和Vert.x,并对它们进行实战对比,以帮助开发者选择合适的框架。
Spring Async
Spring Async是Spring框架提供的一个异步编程框架。通过使用Spring Async,我们可以将方法标记为...阅读全文
Aug042021
学会使用Spring框架进行Java开发
Spring框架是一个非常流行的Java开发框架,它提供了丰富的功能和组件,使得我们在开发应用程序时更加简单和高效。本文将介绍如何学会使用Spring框架进行Java开发,并展示一些常用的功能和技巧。
什么是Spring框架?
Spring框架是一个轻量级的、全面的应用程序开发框架,它提供了各种功能,如依赖注入、面向切面编程、事务管理等。Spring框架的核心是其控制反转(IoC)和面向切面编程(AOP...阅读全文