亲自在系统里安装了一遍,遇到了使用最新版本的xampp的坑最终没绕过去,但是降低了版本反而通过了,不得不说phpcms v9真的坑爹哇,居然不支持7.*版本,但是也没找到相关的说明。记录一下,希望其他同学看到我这篇博客,能够少走弯路,开开心心玩儿phpcms v9!!! ...
<input> type 类型为 file 时使得用户可以选择一个或多个元素以提交表单的方式上传到服务器上,或者通过 Javascript 的 File API 对文件进行操作 . 常用input属性: accept:指示file类型,没有时表示不限制类型,填入格式后选择文件时只能看见被允许的文件 ...
分类:
Web程序 时间:
2019-11-23 16:24:39
阅读次数:
70
背景 fastjson爆出重大漏洞,攻击者可使整个业务瘫痪 漏洞描述 常用JSON组件FastJson存在远程代码执行漏洞,攻击者可通过精心构建的json报文对目标服务器执行任意命令,从而获得服务器权限。此次爆发的漏洞为以往漏洞中autoType的绕过。 影响范围 FastJson < 1.2.48 ...
分类:
其他好文 时间:
2019-11-22 10:32:20
阅读次数:
95
简单介绍tamper sqlmap的--tamper参数可以引入用户自定义的脚本来修改注入时的payload,由此可以使用tamper来绕过waf,替换被过滤的关键字等。这是一个基本的tamper结构。 换被过滤的关键字等。这是一个基本的tamper结构 #!/usr/bin/env python ...
分类:
数据库 时间:
2019-11-20 23:31:50
阅读次数:
161
在Spring/Spring Boot的入门上我绕了很多弯路,我绕过的一个典型的弯路是: 找一个Spring Boot的入门案例,下载代码跟着跑了一遍,跑通之后确不能理解代码,尤其是各种配置文件以及注解让我难以理解这个程序究竟是怎么跑起来的。@Autowired, @Controller这些注解到底 ...
分类:
编程语言 时间:
2019-11-20 16:56:52
阅读次数:
72
通过第一题之后继续进行第二题 我们会发现这个体会将内容放到<textarea></textarea>中然后我们刚才那段代码就失效了 因为这个代码可以将我们输入的内容转换成超文本 我们可以绕过过这段代码 就是通过提前闭合 例如;输入</textarea><script>alert(1)</script ...
分类:
其他好文 时间:
2019-11-20 12:57:15
阅读次数:
72
0X01:什么是HTTP请求走私 HTTP请求走私属于协议层攻击,是服务器漏洞的一种。 HTTP请求走私是一种干扰网站处理从一个或多个用户接收的HTTP请求序列的方式的技术。使攻击者可以绕过安全控制,未经授权访问敏感数据并直接危害其他应用程序用户。 一般来说,反向代理服务器与后端的源站服务器之间,会 ...
分类:
Web程序 时间:
2019-11-18 20:24:13
阅读次数:
152
定理:速度 =波长 * 频率; 在光波里面,波长*频率=一个定值,所以波长越长,频率就会越小.波长越长,穿透力越强(容易绕过障碍物,发生衍射),反之就弱.频率越高,分辨率就越高,反之即然. 红外线望远镜(波长长)能在有雾的地方看得比普通的要远好多,就连窗帘布也能穿过.紫外线照相机(频率高)常用于拍指 ...
分类:
其他好文 时间:
2019-11-17 17:35:52
阅读次数:
675
攻击者通过构造恶意SQL命令发送到数据库,如果程序未对用户输入的 SQL命令执行判断过滤,那么生成的SQL语句可能会绕过安全性检查,插入其他用于修改后端数据库的语句,并可能执行系统命令,从而对系统造成危害 例如删除 id 为 1 的帖子,sql 如下: 1 $post_id = $_POST['po ...
分类:
Web程序 时间:
2019-11-14 21:44:27
阅读次数:
101
一次有趣的sql姿势学习,join bypass逗号,innodb,无列名注入 ...
分类:
数据库 时间:
2019-11-14 09:48:40
阅读次数:
134
