枯萎天然呆
枯萎天然呆

全站SQL注入

1、增加 application/json 参数处理XyRequestWrapper
2、程序中增加 sql注入拦截器RefererFilter
3、web.xml 配置拦截器

  
  
      filter_web  
      com.bhne.web.servlet.RefererFilter  
        
          charset  
          UTF-8  
        
        
          contentType  
          text/html;charset=UTF-8  
      
    
    
      filter_web  
      *.call

XyRequestWrapper

package com.bhne.web.servlet;

import com.alibaba.fastjson.JSONObject;


import org.apache.commons.codec.Charsets;
import org.apache.cxf.common.util.StringUtils;

import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.Map;

/**
 * Created by fuwenshen
 * Date:2018/10/26
 * Time:12:21
 */
public class XyRequestWrapper extends HttpServletRequestWrapper {
    private String body;
    public XyRequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        StringBuilder stringBuilder = new StringBuilder();
        BufferedReader bufferedReader = null;
        try {
            InputStream inputStream = request.getInputStream();
            if (inputStream != null) {
                bufferedReader = new BufferedReader(new InputStreamReader(inputStream,"UTF-8"));
                char[] charBuffer = new char[128];
                int bytesRead = -1;
                while ((bytesRead = bufferedReader.read(charBuffer)) > 0) {
                    stringBuilder.append(charBuffer, 0, bytesRead);
                }
            } else {
                stringBuilder.append("");
            }
        } catch (IOException ex) {
            throw ex;
        } finally {
            if (bufferedReader != null) {
                try {
                    bufferedReader.close();
                } catch (IOException ex) {
                    throw ex;
                }
            }
        }
        body = stringBuilder.toString();
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(body.getBytes("UTF-8"));
        ServletInputStream servletInputStream = new ServletInputStream() {

            @Override
            public int read() throws IOException {
                return byteArrayInputStream.read();
            }
        };
        return servletInputStream;
    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(this.getInputStream(), Charsets.UTF_8));
    }

    public String getBody() {
        return this.body;
    }

    @Override
    public String getParameter(String name) {
        return super.getParameter(name);
    }

    @Override
    public Map getParameterMap() {
        return super.getParameterMap();
    }

    @Override
    public Enumeration getParameterNames() {
        return super.getParameterNames();
    }

    @Override
    public String[] getParameterValues(String name) {
        return super.getParameterValues(name);
    }

    /**
     * 设置自定义post参数 //
     *
     * @param paramMaps
     * @return
     */
    public void setParamsMaps(Map paramMaps) {
        Map paramBodyMap = new HashMap();
        if (!StringUtils.isEmpty(body)) {
            paramBodyMap = JSONObject.parseObject(body, Map.class);
        }
        paramBodyMap.putAll(paramMaps);
        body = JSONObject.toJSONString(paramBodyMap);
    }
}

RefererFilter

package com.bhne.web.servlet;

import java.io.IOException;
import java.util.*;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import cn.hutool.core.map.MapUtil;
import cn.hutool.core.util.StrUtil;

import cn.hutool.json.JSONObject;
import cn.hutool.json.JSONUtil;
import com.alibaba.fastjson.JSON;
import net.sf.json.JSONArray;
import org.springframework.web.multipart.MultipartHttpServletRequest;
import org.springframework.web.multipart.MultipartResolver;
import org.springframework.web.multipart.commons.CommonsMultipartResolver;

public class RefererFilter implements Filter {
    //销毁r
    @Override
    public void destroy() {

    }

    @Override
    public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2) throws IOException, ServletException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) arg0;
        HttpServletResponse httpServletResponse = (HttpServletResponse) arg1;
        String url = ((HttpServletRequest)arg0).getRequestURI();




        String contentType =  ((HttpServletRequest)arg0).getContentType();
        if (contentType != null && contentType.contains("multipart/form-data")) {
            MultipartResolver resolver = new CommonsMultipartResolver(((HttpServletRequest)arg0).getSession().getServletContext());
            MultipartHttpServletRequest multipartRequest = resolver.resolveMultipart((HttpServletRequest) arg0);
            // 将转化后的 request 放入过滤链中
            arg0 = multipartRequest;
        }



        System.out.println("==========================================");
        System.out.println(url);
        Map map = arg0.getParameterMap();
        Enumeration names1 = httpServletRequest.getParameterNames();
        System.out.println(names1.toString());
        System.out.println("===============================================");
        String referer = ((HttpServletRequest)arg0).getHeader("Referer");

        // 防止流读取一次后就没有了, 所以需要将流继续写出去
        XyRequestWrapper requestWrapper = new XyRequestWrapper(httpServletRequest);
        String body = requestWrapper.getBody();
        Map parameterMap = requestWrapper.getParameterMap();
        if(StrUtil.isNotBlank(body)&&JSONUtil.isJson(body)){
            JSONObject jsonObject = JSONUtil.parseObj(body);
            Collection values = jsonObject.values();

            for (Map.Entry entry : jsonObject.entrySet()) {
                String value = (String) entry.getValue();
                if(judgeSQLInject(value.toLowerCase())){
                    arg1.setContentType("text/html;charset=UTF-8");
                    arg1.getWriter().print("参数含有非法字符!");
                    return;
                }
            }


        }


        //System.out.println(referer);
        if(!url.contains("app") && (referer==null || !referer.contains("xjpwqgcglpt"))){
            arg1.getWriter().write("");
        }else{
            
            if(!url.contains("app") && !url.contains("login") && !url.contains("charts")){
                HttpSession session=((HttpServletRequest)arg0).getSession();
                if(session.getAttribute("user")==null){
                    HttpServletResponse rep = (HttpServletResponse) arg1;
                    rep.setHeader("sessionstatus", "timeout");
                    return;
                }
            }

            arg0.getParameterMap();
            Enumeration names = arg0.getParameterNames();
            while(names.hasMoreElements()){
                String name = names.nextElement();
                String[] values = arg0.getParameterValues(name);
                for(String value: values){
                    //sql注入直接拦截
                    if(judgeSQLInject(value.toLowerCase())){
                        arg1.setContentType("text/html;charset=UTF-8");
                        arg1.getWriter().print("参数含有非法字符!");
                        return;
                    }
                }
            }


            arg2.doFilter(arg0, arg1);
            
            /*if(url.contains("appCheckVersion") || url.contains("app_pd_login") || url.contains("appGetPlanMapDistributionNew") || url.contains("app_selectStatusByUser_self")){
                arg2.doFilter(arg0, arg1);
            }else{
                if(url.contains("app")){
                    JSONObject retJo = new JSONObject();
                    retJo.put("code", 0);
                    retJo.put("msg", "请更新至最新版APP!");
                    arg1.getWriter().write(retJo.toString());
                }else{
                    JSONObject jo = new JSONObject();
                    jo.put("status", "failure");
                    jo.put("number", 3);
                    jo.put("msg", "请使用新的登录地址!");
                    arg1.getWriter().write(jo.toString());
                }
            }*/
        }
    }
    
    
    
    /** 
     * 判断参数是否含有攻击串 
     * @param value 
     * @return 
     */  
    public boolean judgeSQLInject(String value){  
        if(value == null || "".equals(value)){  
            return false;  
        }  
        //String xssStr = "and|or|select|update|delete|drop|truncate|%20|=|-|--|;|'|%|#|+|,|//|/| |\\|!=|(|)";
        String xssStr = "select|update|delete|drop|truncate|'";
        String[] xssArr = xssStr.split("\\|");  
        for(int i=0;i-1&&update_){

                return true;
            }
        }
        return false;  
    }
    
    //初始化
    public void init(FilterConfig arg0) throws ServletException {

    }

}

























你可能感兴趣的:(全站SQL注入)






    

  • 福建科立讯通信 指挥调度管理平台 SQL注入漏洞复现(CVE-2024-2620、CVE-2024-2621)
OidBoy_G
漏洞复现安全web安全

    0x01产品简介福建科立讯通信指挥调度管理平台是一个专门针对通信行业的管理平台。该产品旨在提供高效的指挥调度和管理解决方案,以帮助通信运营商或相关机构实现更好的运营效率和服务质量。该平台提供强大的指挥调度功能,可以实时监控和管理通信网络设备、维护人员和工作任务等。用户可以通过该平台发送指令、调度人员、分配任务,并即时获取现场反馈和报告。0x02漏洞概述福建科立讯通信指挥调度管理平台down_fil
    

    • 

  • 网页有效防止XSS,SQL注入,木马文件拦截上传等安全问题
程序员贵哥
网络安全xsssql安全网络安全web安全php

    网络安全问题一直是备受关注的话题,其中跨站脚本攻击(XSS)、SQL注入和木马文件上传是常见的安全威胁。下面我将详细介绍这些安全问题。首先是跨站脚本攻击(XSS)。XSS攻击是一种利用网站漏洞,将恶意脚本注入到用户浏览器中并执行的攻击方式。攻击者可以在网站中插入恶意脚本,当用户浏览该网站时,恶意脚本会被执行,从而窃取用户的敏感信息或执行其他恶意操作。XSS攻击可以分为反射型、存储型和DOM-bas
    

    • 

  • WordPress Plugin NotificationX插件 SQL注入漏洞复现(CVE-2024-1698)
OidBoy_G
漏洞复现sqlweb安全安全

    0x01产品简介WordPress和WordPressplugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。0x02漏洞概述WordPresspluginNotificationX是一个应用插件。2.8.2版本及之前存在安全漏洞,该漏洞源于对用户提供的参数转义不充分以及对现有SQL查询缺乏充分
    

    • 

  • sql注入(limit后注入)
草莓养殖户

    1、procedureanalyse()select*fromusersorderbyidlimit0,5procedureanalyse(1,extractvalue(rand(),concat(0x3a,version())));2、写文件。select***intooutfile
    

    • 

  • HertzBeat赫兹节拍 v1.0.beta.6 发布,Linux监控来啦
TanCloud探云

    HertzBeat赫兹跳动是由Dromara孵化,TanCloud开源的一个支持网站,API,PING,端口,数据库,操作系统,全站等监控类型,支持阈值告警,告警通知(邮箱,webhook,钉钉,企业微信,飞书机器人),拥有易用友好的可视化操作界面的开源监控告警项目。官网:hertzbeat.com|tancloud.cn此升级版本包含了很多同学需要的Linux操作系统监控支持,支持其CPU,内存
    

    • 

  • sql注入之post 传参方式的注入
西蒙娜
sql

    在输入框里面进行注入需要的注释符#是否存在注入点,注入点在有和数据库服务器交互的地方万能密码1'or1=1#sqlmap之post注入1:将变量参数位置加*uname=name*在sqlmap安装目录下面新建文本文件为x.txtpythonsqlmap.py-rr.txt--dbs-Ddn--tables-Ddn-Ttn--columns-Ddn-Ttn-c1,c2--dumppost注入2:先将
    

    • 

  • 阿里云高防服务器如何实现安全防护,以及如何接触安全防护
九河云
安全服务器阿里云

    随着互联网的发展,网络安全问题日益突出,不法分子利用网络空间进行各种网络攻击,如DDoS攻击、SQL注入、XSS漏洞等,给个人、企业甚至国家的信息安全带来了极大的威胁。为了保障网络安全,高防服务器和阿里云服务器是很好的选择,下面九河云来讲讲高防服务器怎样实现安全防护措施,以及阿里云服务器安全防护怎么解除。一、高防服务器的安全防护措施1、DDoS攻击防护DDoS攻击属于分布式拒绝服务攻击,其主要手段
    

    • 

  • 字节面试分享,请详细介绍为何Http Post发送两次请求
zy_zeros
面试http职场和发展

    在浏览器中,内容是很开放的,任何资源都可以接入其中,如JavaScript文件、图片、音频、视频等资源,甚至可以下载其他站点的可执行文件。但也不是说浏览器就是完全自由的,如果不加以控制,就会出现一些不可控的局面,例如会出现一些安全问题,如:跨站脚本攻击(XSS)SQL注入攻击OS命令注入攻击HTTP首部注入攻击跨站点请求伪造(CSRF)等等…如果这些都没有限制的话,对于我们用户而言,是相对危险的,
    

    • 

  • 友点CMS GetSpecial SQL注入漏洞复现
OidBoy_G
漏洞复现安全web安全

    0x01产品简介友点CMS是一款高效且灵活的网站管理系统,它为用户提供了简单易用的界面和丰富的功能。无论是企业还是个人,都能通过友点CMS快速搭建出专业且美观的网站。该系统支持多种内容类型和自定义模板,方便用户按需调整。同时,它具备强大的SEO功能,能提升网站在搜索引擎中的排名。友点CMS还支持多语言设置,适应国际化需求。总的来说,友点CMS是网站建设的理想选择,既高效又易用。0x02漏洞概述友点
    

    • 

  • JeePlus快速开发平台 validateMobile SQL注入漏洞复现
OidBoy_G
漏洞复现sqlweb安全安全

    0x01产品简介JeePlus(洁普斯)是一个软件快速开发平台,使用多种现代Web技术,包括SpringCloud/SpringBoot、MyBatisPlus、SpringSecurity、Redis、Vue3、ElementPlus等。该平台支持多种数据库,如MySQL、Oracle、sqlserver、postgresql等。JeePlus采用标准的SOA架构,依托优秀的前台富客户端框架(如
    

    • 

  • Jeeplus快速开发平台 validateMobileExist SQL注入漏洞
OidBoy_G
漏洞复现sql安全web安全

    0x01产品简介JeePlus(洁普斯)是一个软件快速开发平台,使用多种现代Web技术,包括SpringCloud/SpringBoot、MyBatisPlus、SpringSecurity、Redis、Vue3、ElementPlus等。该平台支持多种数据库,如MySQL、Oracle、sqlserver、postgresql等。JeePlus采用标准的SOA架构,依托优秀的前台富客户端框架(如
    

    • 

  • JavaWeb学习(一)---MySQL数据库
肥大毛
Java学习数据库mysql学习

    文章目录MySQL查询中嵌套查询,称嵌套查询为子查询事务事务的四大特性数据库引擎存储过程变量函数触发器JDBCJDBC详解DriverManager驱动管理类Connection数据库连接对象Statementsql执行ResultSet:结果集对象PreparedStatement:预编译SQL语句并且执行,预防SQL注入问题在sql语句中?代表占位符数据库连接池练习:基于Druid连接池实现对
    

    • 

  • SQL注入工具之SQLmap入门操作
测试小鬼
自动化sqlpython软件测试经验分享fiddler开发语言

    了解SQLmap基础操作SQLmap是一款自动化的SQL注入工具,可以用于检测和利用SQL注入漏洞。以下是SQLmap的入门操作步骤:1.下载SQLmap:可以从官方网站(https://sqlmap.org/)下载最新版本的SQLmap。2.打开终端:在终端中进入SQLmap所在的目录。3.输入命令:使用以下命令运行SQLmap:pythonsqlmap.py-u其中,;是指要测试的网站的URL
    

    • 

  • Web 基础20 Filter 入门案例一 ~ 统一全站的编码 (一)
小熊先生很不开心

    1.1首先使用普通方法进行1.1.1顺便说一下案例环境  这里我直接使用的是上次Session登录注销的案例用jsp改写的所以我这就直接放代码了不进行说明了。。。对不起数据准备packagecom.itbear.domain;publicclassUser{privateStringname;privateStringpassword;publicUser(){super();//TODOAuto
    

    • 

  • XMall 开源商城 SQL注入漏洞复现(CVE-2024-24112)
OidBoy_G
漏洞复现web安全安全sql

    0x01产品简介XMall开源电商商城是开发者Exrick的一款基于SOA架构的分布式电商购物商城前后端分离前台商城:Vue全家桶后台管理:Dubbo/SSM/Elasticsearch/Redis/MySQL/ActiveMQ/Shiro/Zookeeper等。0x02漏洞概述XMall开源商城/item/list、/item/listSearch、/sys/log、/order/list、/m
    

    • 

  • 负载均衡下webshell连接nginx解析漏洞、sql注入第一关
kaituozhizzz
负载均衡nginx运维

    首先搭建环境找到php较低的版本改一下账号密码输入?id=1正常输入?id=1'报错'.0'输入?id=1'--+正常判断是字符型注入,闭合方式是'id是1后台看是数据表里第一行查询id=1'出错前端打印出了报错信息语法错误这里是找到了库名,接下来是找表名这个方法是子里面把两个表连接在一起查询出的数据,当做一张表来进行查询,join是连接的意思,复查询去查询?id=1'and1=2unionsel
    

    • 

  • 时间序列预测 — ARIMA模型原理
几度春风里
时间序列预测时间序列预测ARIMA

    专栏链接:https://blog.csdn.net/qq_41921826/category_12495091.html专栏内容所有文章提供源代码、数据集、效果可视化文章多次上领域内容榜、每日必看榜单、全站综合热榜
    

    • 

  • 解决updatexml和extractvalue查询显示不全
etc _ life
面试问题sql数据库

    报错注入是一种常见的SQL注入方式,通过注入代码,触发数据库的错误响应,并从错误信息中获取有用的信息。updatexml和extractvalueupdatexml和extractvalue是常用的两个报错注入函数http://localhost/sqli/Less-5/?id=1%27and%20updatexml(1,concat(%27~%27,(select%20user())),1)--
    

    • 

  • Python访问数据库
互联网的猫
Python从入门到精通python

    目录SQLite数据库SQLite数据类型Python数据类型与SQLite数据类型的映射使用GUI管理工具管理SQLite数据库数据库编程的基本操作过程sqlite3模块API数据库连接对象Connection游标对象Cursor数据库的CRUD操作示例示例中的数据表无条件查询有条件查询插入数据更新数据删除数据防止SQL注入攻击如果数据量较少,则我们可以将数据保存到文件中;如果数据量较大,则我们
    

    • 

  • 0130小土豆碎碎念
星婷说成长

    未经他人苦,莫劝他人善。每个人都有自己的路要走,在人生路上,难免会遇到各种磕磕跘跘。不同的人,对待问题的态度不同。有人遇到事情,选择勇敢面对,想尽一切办法,迅速去解决问题。有人则是选择了逃避,甚至把自己缩在壳里,不愿意提起这件事。作为旁观者,你不能去评价谁对谁错,孰是孰非。因为,你不是当事者,永远无法完全站在当事者的角度去思考,永远体会不到别人的欲言又止,如鲠在喉,更体会不到别人的欲罢不能,种种心
    

    • 

  • MyBatis进阶学习
m0_57408062
mybatis学习java

    1.如何复制Maven项目1.复制文件夹,修改名字2.修改.iml文件的名字和文件夹名字一致3.修改.xml中为文件夹名字2.MyBatis增删改查MyBatis三种开发方式①接口代理的开发方式(重点)②使用注解的开发方式(重点)③传统DAO实现类的开发方式(目前淘汰)1.根据id查询注意:#{变量}select*fromuserwhereid=?;?表示占位符,是预编译的效果,不会有SQL注入的
    

    • 

  • 常见Web安全漏洞的实际案例和攻防技术
清水白石008
web安全安全

    常见Web安全漏洞的实际案例和攻防技术1、SQL注入攻击与防范:通过一个简单的Web应用演示SQL注入攻击,包括入侵者如何通过输入恶意SQL语句来获取敏感数据。提供相应的防范措施,包括参数化查询、ORM框架的使用等,并附上实际代码演示。Copycode#恶意SQL注入语句的示例SELECT*FROMusersWHEREusername='admin'ANDpassword='xxx'OR'1'=
    

    • 

  • [BJDCTF2020]EasySearch1 不会编程的崽
不会编程的崽
安全网络安全web安全

    先来看看界面源代码,抓包似乎都没什么线索,sql注入没什么反应。用dirsearch扫描3遍也没什么结果。。。最后使用dirmap才发现了网站源码文件。真够隐蔽的。index.php.swp源码也很简单,大概分为两层意思1.username存在即可,password经过md5加密后的前6位必须是6d0bc1。2.会利用get_shtml函数生成一个public文件夹下的shtml文件,并将内容写入
    

    • 

  • 【网络安全|白帽子】用技术合法挖漏洞,一个月能拿多少钱?
网安老伯
web安全安全网络网络安全学习电脑大数据

    现在很多白帽子(网安工程师/渗透测试工程师)都会在下班之后利用业余时间去补天之类的漏洞赏金平台挖漏洞,用技术合法给企业找出威胁存在,拿到漏洞赏金。那么现在,一般人用网安技术挖漏洞一个月能拿多少钱?如果你只是会用一些诸如Nmap和SQLMap这种简单的工具,你去漏洞平台上挖漏洞基本上是不可能有什么收获的,因为简单的漏洞早就被别人查出来了,轮不到你的。那么怎么找漏洞?第一个:SQL注入漏洞AS:首先是
    

    • 

  • 抖音购物怎么拿返利?抖音返利哪个佣金高!
氧惠评测

    新一波抖音潮流,你get到了吗?前不久,抖音站内掀起一番全民变装热潮,一批颜值类、国风类、舞蹈类、搞笑类达人手持良品铺子高蛋白肉脯,在良品铺子定制BGM中创意变装、花式秀才艺。在抖音全站打造创意系列玩法,助推营销策略高效转化成品牌资产,将自然流量转化成品牌流量,实现多流量池互通。披荆斩棘第二季热播以来,良品铺子以指定高端零食合作伙伴的身份,携爆款单品“高蛋白肉脯”,助力哥哥们登上辉煌巅峰,传递高端
    

    • 

  • 【漏洞复现-通达OA】通达OA getcallist存在前台SQL注入漏洞
xiaokp7
漏洞复现sql数据库

    一、漏洞简介通达OA(OfficeAnywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。通达OA为各行业不同规模的众多用户提供信息化管理能力,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等,帮助广大用户降低沟通和管理成本,提升生产和决策效率。通达OAgetcallist存在前台SQL注入漏
    

    • 

  • 【漏洞复现-通达OA】通达OA swfupload_new存在前台SQL注入漏洞
xiaokp7
漏洞复现sql数据库

    一、漏洞简介通达OA(OfficeAnywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。通达OA为各行业不同规模的众多用户提供信息化管理能力,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等,帮助广大用户降低沟通和管理成本,提升生产和决策效率。通达OAswfupload_new存在前台SQL
    

    • 

  • 【漏洞复现-通达OA】通达OA share存在前台SQL注入漏洞
xiaokp7
漏洞复现sql数据库

    一、漏洞简介通达OA(OfficeAnywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。通达OA为各行业不同规模的众多用户提供信息化管理能力,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等,帮助广大用户降低沟通和管理成本,提升生产和决策效率。通达OA/share/handle.php存在S
    

    • 

  • Nacos系统历史CVE漏洞的复现分析与检测
Tr0e
漏洞分析Nacos漏洞

    文章目录前言CVE-2021-29441认证绕过1.1环境搭建与复现1.2漏洞源码的分析1.3修复方案被绕过1.4衍生的默认凭据QVD-2023-6271默认密钥2.1环境搭建与复现2.2漏洞修复与现状2.3CVE-2021-43116CNVD-2020-67618SQL注入3.1环境搭建与复现3.2漏洞分析与修复3.3Nacos漏洞ToolsCNVD-2023-45001反序列化4.1环境搭建与
    

    • 

  • 2019年密码与安全新技术讲座-课程总结报告
weixin_34345753
密码学

    2019年密码与安全新技术讲座-课程总结报告课程讲座总结网络(web)安全与内容安全信息化的发展使得信息安全越发重要。在网络中由于存在威胁方-防护方技术、成本、风险、主题的非对称性,维护信息安全的难度非常之高,没有哪一个系统敢说自己是绝对安全的,但起码应该对常见的威胁做出应对,避免系统被很容易的攻破。目前WEB应用中存在很多漏洞,常见的WEB漏洞如下:SQL注入攻击不管用什么语言编写的Web应用,
    

    • 

  • java解析APK
3213213333332132
javaapklinux解析APK

    解析apk有两种方法
1、结合安卓提供apktool工具,用java执行cmd解析命令获取apk信息
2、利用相关jar包里的集成方法解析apk
这里只给出第二种方法,因为第一种方法在linux服务器下会出现不在控制范围之内的结果。
public class ApkUtil
{
/**
* 日志对象
*/
private static Logger 
    

    • 

  • nginx自定义ip访问N种方法
ronin47
nginx 禁止ip访问

       因业务需要,禁止一部分内网访问接口, 由于前端架了F5,直接用deny或allow是不行的,这是因为直接获取的前端F5的地址。
   所以开始思考有哪些主案可以实现这样的需求,目前可实施的是三种:
   一:把ip段放在redis里,写一段lua
          二:利用geo传递变量,写一段
    

    • 

  • mysql timestamp类型字段的CURRENT_TIMESTAMP与ON UPDATE CURRENT_TIMESTAMP属性
dcj3sjt126com
mysql

    timestamp有两个属性,分别是CURRENT_TIMESTAMP 和ON UPDATE CURRENT_TIMESTAMP两种,使用情况分别如下:
 
1.
 
CURRENT_TIMESTAMP 
 
当要向数据库执行insert操作时,如果有个timestamp字段属性设为
 
CURRENT_TIMESTAMP,则无论这
    

    • 

  • struts2+spring+hibernate分页显示
171815164
Hibernate

    分页显示一直是web开发中一大烦琐的难题,传统的网页设计只在一个JSP或者ASP页面中书写所有关于数据库操作的代码,那样做分页可能简单一点,但当把网站分层开发后,分页就比较困难了,下面是我做Spring+Hibernate+Struts2项目时设计的分页代码,与大家分享交流。
  1、DAO层接口的设计,在MemberDao接口中定义了如下两个方法:
public in
    

    • 

  • 构建自己的Wrapper应用
g21121
rap

            我们已经了解Wrapper的目录结构,下面可是正式利用Wrapper来包装我们自己的应用,这里假设Wrapper的安装目录为:/usr/local/wrapper。
 
        首先,创建项目应用
 
&nb
    

    • 

  • [简单]工作记录_多线程相关
53873039oycg
多线程

         最近遇到多线程的问题,原来使用异步请求多个接口(n*3次请求)     方案一 使用多线程一次返回数据,最开始是使用5个线程,一个线程顺序请求3个接口,超时终止返回     缺点       测试发现必须3个接
    

    • 

  • 调试jdk中的源码,查看jdk局部变量
程序员是怎么炼成的
jdk 源码

    转自:http://www.douban.com/note/211369821/
 
 学习jdk源码时使用--
  学习java最好的办法就是看jdk源代码,面对浩瀚的jdk(光源码就有40M多,比一个大型网站的源码都多)从何入手呢,要是能单步调试跟进到jdk源码里并且能查看其中的局部变量最好了。
可惜的是sun提供的jdk并不能查看运行中的局部变量
    

    • 

  • Oracle RAC Failover 详解
aijuans
oracle

    Oracle RAC 同时具备HA(High Availiablity) 和LB(LoadBalance). 而其高可用性的基础就是Failover(故障转移). 它指集群中任何一个节点的故障都不会影响用户的使用,连接到故障节点的用户会被自动转移到健康节点,从用户感受而言, 是感觉不到这种切换。
Oracle 10g RAC 的Failover 可以分为3种:
1. Client-Si
    

    • 

  • form表单提交数据编码方式及tomcat的接受编码方式
antonyup_2006
JavaScripttomcat浏览器互联网servlet

    原帖地址:http://www.iteye.com/topic/266705
form有2中方法把数据提交给服务器,get和post,分别说下吧。
(一)get提交
1.首先说下客户端(浏览器)的form表单用get方法是如何将数据编码后提交给服务器端的吧。
  
对于get方法来说,都是把数据串联在请求的url后面作为参数,如:http://localhost:
    

    • 

  • JS初学者必知的基础
百合不是茶
js函数js入门基础

    JavaScript是网页的交互语言,实现网页的各种效果,
JavaScript 是世界上最流行的脚本语言。
JavaScript 是属于 web 的语言,它适用于 PC、笔记本电脑、平板电脑和移动电话。
JavaScript 被设计为向 HTML 页面增加交互性。
许多 HTML 开发者都不是程序员,但是 JavaScript 却拥有非常简单的语法。几乎每个人都有能力将小的 
    

    • 

  • iBatis的分页分析与详解
bijian1013
javaibatis

            分页是操作数据库型系统常遇到的问题。分页实现方法很多,但效率的差异就很大了。iBatis是通过什么方式来实现这个分页的了。查看它的实现部分,发现返回的PaginatedList实际上是个接口,实现这个接口的是PaginatedDataList类的对象,查看PaginatedDataList类发现,每次翻页的时候最
    

    • 

  • 精通Oracle10编程SQL(15)使用对象类型
bijian1013
oracle数据库plsql

    /*
*使用对象类型
*/
--建立和使用简单对象类型
--对象类型包括对象类型规范和对象类型体两部分。
--建立和使用不包含任何方法的对象类型
CREATE OR REPLACE TYPE person_typ1 as OBJECT(
name varchar2(10),gender varchar2(4),birthdate date
);
drop type p
    

    • 

  • 【Linux命令二】文本处理命令awk
bit1129
linux命令

    awk是Linux用来进行文本处理的命令,在日常工作中,广泛应用于日志分析。awk是一门解释型编程语言,包含变量,数组,循环控制结构,条件控制结构等。它的语法采用类C语言的语法。
  awk命令用来做什么?
1.awk适用于具有一定结构的文本行,对其中的列进行提取信息
2.awk可以把当前正在处理的文本行提交给Linux的其它命令处理,然后把直接结构返回给awk
3.awk实际工
    

    • 

  • JAVA(ssh2框架)+Flex实现权限控制方案分析
白糖_
java

     
目前项目使用的是Struts2+Hibernate+Spring的架构模式,目前已经有一套针对SSH2的权限系统,运行良好。但是项目有了新需求:在目前系统的基础上使用Flex逐步取代JSP,在取代JSP过程中可能存在Flex与JSP并存的情况,所以权限系统需要进行修改。
【SSH2权限系统的实现机制】
权限控制分为页面和后台两块:不同类型用户的帐号分配的访问权限是不同的,用户使
    

    • 

  • angular.forEach
boyitech
AngularJSAngularJS APIangular.forEach

    angular.forEach 描述: 循环对obj对象的每个元素调用iterator, obj对象可以是一个Object或一个Array. Iterator函数调用方法: iterator(value, key, obj), 其中obj是被迭代对象,key是obj的property key或者是数组的index,value就是相应的值啦. (此函数不能够迭代继承的属性.) 
    

    • 

  • java-谷歌面试题-给定一个排序数组,如何构造一个二叉排序树
bylijinnan
二叉排序树

    
import java.util.LinkedList;
public class CreateBSTfromSortedArray {
/**
* 题目:给定一个排序数组,如何构造一个二叉排序树
* 递归
*/
public static void main(String[] args) {
int[] data = { 1, 2, 3, 4, 
    

    • 

  • action执行2次
Chen.H
JavaScriptjspXHTMLcssWebwork

    xwork 写道 <action name="userTypeAction"
class="com.ekangcount.website.system.view.action.UserTypeAction">
<result name="ssss" type="dispatcher"> 
    

    • 

  • [时空与能量]逆转时空需要消耗大量能源
comsci
能源

    
        无论如何,人类始终都想摆脱时间和空间的限制....但是受到质量与能量关系的限制,我们人类在目前和今后很长一段时间内,都无法获得大量廉价的能源来进行时空跨越.....
        在进行时空穿梭的实验中,消耗超大规模的能源是必然
    

    • 

  • oracle的正则表达式(regular expression)详细介绍
daizj
oracle正则表达式

        正则表达式是很多编程语言中都有的。可惜oracle8i、oracle9i中一直迟迟不肯加入,好在oracle10g中终于增加了期盼已久的正则表达式功能。你可以在oracle10g中使用正则表达式肆意地匹配你想匹配的任何字符串了。
正则表达式中常用到的元数据(metacharacter)如下:
^ 匹配字符串的开头位置。
$ 匹配支付传的结尾位置。
* 
    

    • 

  • 报表工具与报表性能的关系
datamachine
报表工具birt报表性能润乾报表

    在选择报表工具时,性能一直是用户关心的指标,但是,报表工具的性能和整个报表系统的性能有多大关系呢?
要回答这个问题,首先要分析一下报表的处理过程包含哪些环节,哪些环节容易出现性能瓶颈,如何优化这些环节。
 
一、报表处理的一般过程分析
1、用户选择报表输入参数后,报表引擎会根据报表模板和输入参数来解析报表,并将数据计算和读取请求以SQL的方式发送给数据库。
 
2、
    

    • 

  • 初一上学期难记忆单词背诵第一课
dcj3sjt126com
wordenglish

    what 什么 
your 你
name 名字
my 我的
am 是
one 一
two 二
three 三
four 四
five 五
class 班级,课
 
six 六
seven 七
eight 八
nince 九
ten 十
zero 零
how 怎样
old 老的
eleven 十一
twelve 十二
thirteen 
    

    • 

  • 我学过和准备学的各种技术
dcj3sjt126com
技术

    语言VB https://msdn.microsoft.com/zh-cn/library/2x7h1hfk.aspxJava http://docs.oracle.com/javase/8/C# https://msdn.microsoft.com/library/vstudioPHP http://php.net/manual/en/Html 
    

    • 

  • struts2中token防止重复提交表单
蕃薯耀
重复提交表单struts2中token

    struts2中token防止重复提交表单
 
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
蕃薯耀 2015年7月12日 11:52:32 星期日
ht
    

    • 

  • 线性查找二维数组
hao3100590
二维数组

    1.算法描述
有序(行有序,列有序,且每行从左至右递增,列从上至下递增)二维数组查找,要求复杂度O(n)
 
2.使用到的相关知识:
结构体定义和使用,二维数组传递(http://blog.csdn.net/yzhhmhm/article/details/2045816)
 
3.使用数组名传递
这个的不便之处很明显,一旦确定就是不能设置列值
//使
    

    • 

  • spring security 3中推荐使用BCrypt算法加密密码
jackyrong
Spring Security

    spring security 3中推荐使用BCrypt算法加密密码了,以前使用的是md5,
Md5PasswordEncoder 和 ShaPasswordEncoder,现在不推荐了,推荐用bcrpt
Bcrpt中的salt可以是随机的,比如:
int i = 0;
while (i < 10) {
String password = "1234
    

    • 

  • 学习编程并不难,做到以下几点即可!
lampcy
javahtml编程语言

    不论你是想自己设计游戏,还是开发iPhone或安卓手机上的应用,还是仅仅为了娱乐,学习编程语言都是一条必经之路。编程语言种类繁多,用途各 异,然而一旦掌握其中之一,其他的也就迎刃而解。作为初学者,你可能要先从Java或HTML开始学,一旦掌握了一门编程语言,你就发挥无穷的想象,开发 各种神奇的软件啦。
1、确定目标
学习编程语言既充满乐趣,又充满挑战。有些花费多年时间学习一门编程语言的大学生到
    

    • 

  • 架构师之mysql----------------用group+inner join,left join ,right join 查重复数据(替代in)
nannan408
right join

    1.前言。
  如题。
2.代码
(1)单表查重复数据,根据a分组
 
SELECT m.a,m.b, INNER JOIN (select a,b,COUNT(*) AS rank FROM test.`A` A GROUP BY a HAVING rank>1 )k ON m.a=k.a
(2)多表查询 ,
使用改为le
    

    • 

  • jQuery选择器小结 VS 节点查找(附css的一些东西)
Everyday都不同
jquerycssname选择器追加元素查找节点

    最近做前端页面,频繁用到一些jQuery的选择器,所以特意来总结一下:
 
测试页面:
<html>
<head>
<script src="jquery-1.7.2.min.js"></script>
<script>
/*$(function() {
$(documen
    

    • 

  • 关于EXT
tntxia
ext

     
ExtJS是一个很不错的Ajax框架,可以用来开发带有华丽外观的富客户端应用,使得我们的b/s应用更加具有活力及生命力。ExtJS是一个用 javascript编写,与后台技术无关的前端ajax框架。因此,可以把ExtJS用在.Net、Java、Php等各种开发语言开发的应用中。
 
 
 
ExtJs最开始基于YUI技术,由开发人员Jack 
    

    • 

  • 一个MIT计算机博士对数学的思考
xjnine
Math

     在过去的一年中,我一直在数学的海洋中游荡,research进展不多,对于数学世界的阅历算是有了一些长进。为什么要深入数学的世界?作为计算机的学生,我没有任何企图要成为一个数学家。我学习数学的目的,是要想爬上巨人的肩膀,希望站在更高的高度,能把我自己研究的东西看得更深广一些。说起来,我在刚来这个学校的时候,并没有预料到我将会有一个深入数学的旅程。我的导师最初希望我去做的题目,是对appe
    

    •