摘要:
我们讲到servlet可以理解服务器端处理数据的java小程序,那么谁来负责管理servlet呢?这时候我们就要用到web容器。它帮助我们管理着servlet等,使我们只需要将重心专注于业务逻辑。 什么是web容器? servlet没有main方法,那我们如何启动一个servlet,如何结束一个se 阅读全文
posted @ 2017-11-07 16:15
芹溪
阅读(4086)
评论(0)
推荐(4)
摘要:
JDK和JRE是Java开发和运行工具,其中JDK包含了JRE,但是JRE是可以独立安装的,它们在Java开发和运行的时候起到不同的作用~ 1.JDK JDK是Java Development Kit的缩写,是Java的开发工具包,主要包含了各种类库和工具,当然也包含了另外一个JRE.。那么为什么要 阅读全文
posted @ 2017-11-07 15:51
芹溪
阅读(23856)
评论(1)
推荐(0)
摘要:
Apache Struts2 作为世界上最流行的 Java Web 服务器框架之一,3 月 7 日带来了本年度第一个高危漏洞——CVE编号 CVE-2017-5638 。其原因是由于 Apache Struts2 的 Jakarta Multipart parser 插件存在远程代码执行漏洞,攻击者 阅读全文
posted @ 2017-11-07 15:26
芹溪
阅读(862)
评论(0)
推荐(0)
摘要:
给Nginx服务降权,用lol用户跑Nginx,给开发及运维设置普通账号,只要和lol同组即可管理Nginx,该方案解决了Nginx管理问题,防止root分配权限过大。 开发人员使用普通账户即可管理Nginx及站点以下程序问题。采取项目负责制制度,谁负责项目维护出了问题谁负责。 1. 更改nginx 阅读全文
posted @ 2017-11-07 14:17
芹溪
阅读(2000)
评论(4)
推荐(0)
摘要:
对于任何降权的操作都是为了更好的保护自己的服务器免受危害,所以我们使用Tomcat也不了外,也需要进行降权操作。因为当 Tomcat以系统管理员身份或作为系统服务运行时,Java运行时取得了系统用户或系统管理员所具有的全部权限。这样一来,Java运行时就取得了所有文件夹中所有文件的全部权限。 如果黑 阅读全文
posted @ 2017-11-07 10:17
芹溪
阅读(2018)
评论(0)
推荐(0)
摘要:
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的 阅读全文
posted @ 2017-11-07 09:07
芹溪
阅读(85)
评论(0)
推荐(0)
摘要:
“SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让应用运行本不应该运行的SQL代码。如果应用毫无防备地创建了SQL字符串并且运行了它们,就会造成一些出人意料的结果。本篇译文由zer0Black翻译自《SQL Injection Attacks by Exa 阅读全文
posted @ 2017-11-07 09:04
芹溪
阅读(239)
评论(0)
推荐(0)
摘要:
XSS的分类 非持久型 非持久型XSS也称反射型XSS。具体原理就是当用户提交一段代码的时候,服务端会马上返回页面的执行结果。那么当攻击者让被攻击者提交一个伪装好的带有恶意代码的链接时,服务端也会立刻处理这段恶意代码,并返回执行结果。如果服务端对这段恶意代码不加过滤的话,恶意代码就会在页面上被执行, 阅读全文
posted @ 2017-11-07 09:01
芹溪
阅读(340)
评论(0)
推荐(0)
摘要:
目前主流过滤XSS的三种技术 过滤 过滤,顾名思义,就是将提交上来的数据中的敏感词汇直接过滤掉。例如对"<script>"、"<a>"、"<img>"等标签进行过滤,有的是直接删除这类标签中的内容,有的是过滤掉之类标签中的on事件或是'javascript'等字符串,让他们达不到预期的DOM效果。 阅读全文
posted @ 2017-11-07 09:00
芹溪
阅读(21049)
评论(0)
推荐(1)
摘要:
以Java的视角来聊聊SQL注入 原创 2017-08-08 javatiku Java面试那些事儿 在大二就接触过sql注入,之前一直在学习windows逆向技术,认为web安全以后不是自己的从业方向,所以当时也就没有深入研究。工作多年来,本人也一直从事安全开发相关工作,随着Java的市场份额越来 阅读全文
posted @ 2017-11-07 08:58
芹溪
阅读(1924)
评论(0)
推荐(0)
摘要:
一、location用法总结 location可以把不同方式的请求,定位到不同的处理方式上. 1.location的用法 location 的匹配顺序是“先匹配正则,再匹配普通”。 矫正: location 的匹配顺序其实是“先匹配普通,再匹配正则”。我这么说,大家一定会反驳我,因为按“先匹配普通, 阅读全文
posted @ 2017-11-07 08:55
芹溪
阅读(90403)
评论(7)
推荐(5)