随笔分类 - Java
摘要:Java 审计 之过滤器防御xss 0x00 前言 本文从攻击与防守两个角度来思考一些审计中的小细节。在前面两篇的xss审计中,写少了一个比较重要的点,就是Filter过滤器。都说Java的审计第一步就是先看web.xml,能看到该cms使用的是哪些框架来进行开发。其次就是看其有没有配置的一些过滤器
阅读全文
摘要:Java 审计之SSRF篇(续) 0x00 前言 先来说说为啥会有该篇章,在刚刚码完上篇文章后,后来又去找了找在Java中的一些远程请求的类。果然翻到了一些有意思的东西,在这里就拿出来给大家分享一下。 0x01 imageIO中的SSRF imageIO类是jdk中自带的一个类,主要用于操作一些图片
阅读全文
摘要:Java 审计之SSRF篇 0x00 前言 本篇文章来记录一下Java SSRF的审计学习相关内容。 0x01 SSRF漏洞详解 原理: 服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。 大部分的web服务器架构中,web服务器自身都可以访问互联网和服务器所在的内网。 ssr
阅读全文
摘要:Java审计之XSS篇 0x00 前言 继续 学习一波Java审计的XSS漏洞的产生过程和代码。 0x01 Java 中XSS漏洞代码分析 xss原理 xss产生过程: 后台未对用户输入进行检查或过滤,直接把用户输入返回至前端。导致javascript代码在客户端任意执行。 XSS代码分析 在php
阅读全文
摘要:Java审计之SQL注入篇 0x00 前言 本篇文章作为Java Web 审计的一个入门文,也是我的第一篇审计文,后面打算更新一个小系列,来记录一下我的审计学习的成长。 0x01 JDBC 注入分析 在Java里面常见的数据库连接方式也就那么几个,分别是JDBC,Mybatis,和Hibernate
阅读全文
摘要:Java学习之Spring Boot入门 0x00 前言 学习完ssm的整合后,开始来学习Spring Boot,在前面学习Spring的时候会发现使用Spring开发中配置Spring的环境会非常的繁琐,而Spring boot的出现就解决了这个问题。 0x01 Spring Boot 概述 Sp
阅读全文
摘要:Java学习之SSM框架整合 0x00 前言 前面的学习的Spring、Spring MVC 和Mybatis框架基本已经学习完了,但是要使用起来,我们需要把这三大框架给整合起来一起使用。 0x01 Spring 整合Spring MVC 首先要先把Spring 和Spring MVC 给整合起来,
阅读全文
摘要:Java学习之SpringMVC 拦截器 0x00 前言 继续 Spring MVC最后一点小内容,后面就该学习如何整合SSM框架了。 0x01 拦截器 拦截器和前面提到的一个过滤器类似,但是他们还是有些区别的。 拦截器和过滤器区别: 1.过滤器在任何框架都可以使用,而拦截器是Spring MVC独
阅读全文
摘要:Java学习之spring MVC常用注解 0x00 前言 续上篇文章的内容继续来记录spring mvc会常用到的一些注解。 0x01 常用注解 RequestParam注解 @Controller public class HelloContraoller { @RequestMapping(p
阅读全文
摘要:Java学习之Spring MVC入门 0x00 前言 前面写了SSM 的两大框架,分别是Mybatis和Spring,这里来写一下Spring MVC框架的相关内容。 0x01 Spring MVC概述 是一种基于Java实现的MVC设计模型的请求驱动类型的轻量级WEB框架。 Spring MVC
阅读全文
摘要:Java学习之Spring框架基础篇 0x00 前言 续上篇文章,继续更新Spring框架内容。 0x01 Bean 自动装载 注解自动装载 在spring框架里面可以自动装配Bean。我们只需要在bean标签里面加上 autowire就可以了。 autowire属性: no :缺省情况下,自动配置
阅读全文
摘要:Java学习之Spring框架入门篇 0x00 前言 最近在学SSM的三大框架,上篇文章,已经更新了Mybatis的相关内容,那么这篇文章就来写写Spring的入门。 0x01 Spring 概述 Spring是一个开源框架,Spring是于2003 年兴起的一个轻量级的Java 开发框架,由Rod
阅读全文
摘要:0x00 前言 续上篇文章的入门篇,继续mark Mybatis内容,上一章节只是写了Mybatis的一个简单查询功能,这篇来写他的删改查等其他操作。 0x01 Mybatis增加大法 添加的操作和查询的其实都差别不大,修改一下映射文件,然后从查询的基础上修改一下,就成了增加的功能了,具体看代码:
阅读全文
摘要:Java学习之Mybatis框架入门篇 0x00 前言 前面文章使用jdbc进行数据库的连接,虽然代码并不复杂,但是比较繁琐。在连接池的文章里面也使用到了JDBC Template简化了数据库操作的步骤,但是Template只是对JDBC进行了简单的封装,是一个工具类,而并不是一个框架。 0x01
阅读全文
摘要:Java学习之动态代理篇 0x00 前言 在后面的漏洞研究的学习中,必须要会的几个知识点。反射机制和动态代理机制。至于反射的前面已经讲到过了,这里就不做更多的赘述了。 0x01 动态代理 这里先来讲一些动态代理的一个定义。 动态代理是给目标对象提供一个代理对象,并由代理对象控制对目标对象的引用。 (
阅读全文
摘要:Java学习之jackson篇 0x00 前言 本篇内容比较简单,简单记录。 0x01 Json 概述 概述:JSON(JavaScript Object Notation, JS 对象简谱) 是一种轻量级的数据交换格式。它基于 ECMAScript (欧洲计算机协会制定的js规范)的一个子集,采用
阅读全文
摘要:Java学习之Filter与Listener篇 0x00 前言 在一些登录点或者是登录后才能使用的一些功能点里面,需要该用户登录后才去才能去访问或使用这些功能。但我们如果每个servlet都去进行一个判断是否登录,这些会有很多重复代码,而且效率也比较低。那么我们可以把这些代码都放到Filter过滤器
阅读全文
摘要:Java学习之JSP篇 0x00 前言 关于jsp的内容其实不多,就来简单的记录一下jsp概念性的内容,避免忘记。 0x01 Jsp概念 jsp的全称是Java Server Pages: java服务器端页面。 其实jsp的本质上就是一个Servlet,jsp在解析的时候,中间件会自动转换成.ja
阅读全文
摘要:Java学习之EL与JSTL篇 0x00 前言 继续来更新Java的学习记录。 0x01 EL表达式 EL 的全称是Expression Language 是一种表达式语言,该语言主要用于替换jsp页面中java的代码。 语法: ${表达式} jsp默认是支持el表达式的,如果要忽略表达式的作用,需
阅读全文
摘要:Java学习之Cookie与Session篇 0x00 前言 到后面的学习中,其实大部分都是一些类的调用,只要清楚一些方法的使用。 0x01 Cookie cookie 概念:客户端会话技术,将数据保存到客户端 常见方法: 1. 创建Cookie对象,绑定数据 * new Cookie(String
阅读全文
浙公网安备 33010602011771号