摘要: 时间过的很快,18年了,走过了一年时间光阴。遥望过去一年立下的目标,多多少少完成了大半,去年我曾说要好好学习java,花费将近大半年时间学习java开发,提升了自己对代码的亲和度,虽然目前写代码能力还是很差,但是好歹也是经历了一些坑,积累了经验,2018年用java写了三四个项目,还算可以,说句实话阅读全文
posted @ 2018-12-30 23:16 飘渺__红尘 阅读(54) 评论(0) 编辑
摘要: 这个注入挺特殊的,是ip头注入。我们进行简单的探测: 首先正常发起一次请求,我们发现content-type是76 探测注入我习惯性的一个单引号: 一个单引号我发现长度还是76 我开始尝试单引号,双引号一起: 我失败了长度还是76 一般sql注入输入单引号一般长度都会有些变化。 我记录深入探测,我输阅读全文
posted @ 2018-12-21 19:14 飘渺__红尘 阅读(106) 评论(0) 编辑
摘要: 我的朋友赵一天今晚给我发了一个站,跟我说他xss绕不过去,让我试试。我正好无事,就帮她看看咯。 通过赵一天发我的站点,说实话,我自己学到了很多东西,感谢大佬的教诲。今天分享出来: 站点:xxx.com/sou 当我尝试: xxx.com/souaaaa 我们查看源码或者f12 Ctrl+f搜索aaa阅读全文
posted @ 2018-12-07 19:11 飘渺__红尘 阅读(429) 评论(0) 编辑
该文被密码保护。
posted @ 2018-11-29 18:51 飘渺__红尘 阅读(44) 评论(0) 编辑
摘要: 看了很长时间的漏洞奖励计划,学到了不少骚姿势,我觉得这个姿势很不错,总结下写篇文章发出来。针对CRLF漏洞打cookie的方法。 这里不讲概念挖掘方式了,以实战为主: 阅读文章前先参考文章:http://www.ruanyifeng.com/blog/2016/04/cors.html 这篇文章对C阅读全文
posted @ 2018-09-30 20:42 飘渺__红尘 阅读(117) 评论(0) 编辑
摘要: JavaWeb之商品查看后历史记录代码实现全过程解析。 历史记录思路图: 假设已经访问了商品 :1-2-3 那么历史记录就是1-2-3,如果访问了商品8,那么历史记录就是:8-1-2-3,如果再次访问3那么历史记录就是:3-8-1-2。 当历史记录中存在了商品3,再次访问商品3,将会删除之前的历史记阅读全文
posted @ 2018-08-27 16:52 飘渺__红尘 阅读(71) 评论(0) 编辑
摘要: 学习Web安全好几年了,接触最多的是Sql注入,一直最不熟悉的也是Sql注入。OWASP中,Sql注入危害绝对是Top1。花了一点时间研究了下Mysql类型的注入。 文章中的tips将会持续更新,先说说这些天研究的 这里博主以数字类型注入类型进行讲解,字符类型同理,这里不在敖述。 我们的环境:php阅读全文
posted @ 2018-08-23 20:14 飘渺__红尘 阅读(185) 评论(0) 编辑
摘要: JDK自带的Proxy动态代理两种实现方式 前提条件:JDK Proxy必须实现对象接口 so,创建一个接口文件,一个实现接口对象,一个动态代理文件 接口文件:TargetInterface.java 实现接口对象的Class文件:Target.java 动态代理的两种实现方式 1.ProxyTes阅读全文
posted @ 2018-07-13 17:18 飘渺__红尘 阅读(270) 评论(0) 编辑
摘要: 很多情况因为过滤不严导致很多网站存在sql注入,这里以用户登陆为例,简单举例 首先创建一个测试的数据库 比较基础,不写创建过程了 java代码如下: 运行 输入正确账号密码可以登陆成功。这里可以被绕过。 很显然这是万能密码。那么如何去修复sql注入呢,这里比较好的方法是采用预编译的开发方式,这是个开阅读全文
posted @ 2018-05-28 23:00 飘渺__红尘 阅读(509) 评论(0) 编辑
摘要: 技术实在是有限,讲解cookie越权的时候可能有点简单和粗糙。这里就简单记录学习下。 首先自己写一段存在漏洞的代码code: sendCookie.java 然后接收cookie中的键值,然后进行判断 先访问sendCookie然后访问getCookie: 默认是进入admin系统 因为cookie阅读全文
posted @ 2018-05-28 22:34 飘渺__红尘 阅读(584) 评论(0) 编辑