漏洞 基础json web

命令执行漏洞 应用在调用函数去执行系统命令的时候，如果将用户的输入作为系统命令的参数拼接到命令行中，在没有过滤用户的输入的情况下，就会造成命令执行漏洞。 简而言之，可执行系统命令。 PHP相关函数： system(args) 有回显 passthru(args)(有回显) exec(args) （回 ......

目录遍历漏洞 利用方式 WEB 目录遍历攻击 目录遍历可以输入 ../返回上级目录 /遍历根目录 ./当前目录 c:\访问 c 盘 ~/ 当前用户目录 遍历网站或系统结构，寻找敏感文件，配合其他漏洞造成严重的安全隐患。 中间件目录遍历攻击 中间件如果设置不当的时，也会造成目录遍历，如 apache ......

服务器端请求伪造（SSRF）漏洞 SSRF (Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者构造请求，由服务端发起请求的安全漏洞。一般情况下，SSRF 攻击的目标是外网无法访问的内部系统(正因为请求是由服务端发起的，所以服务端能请求到与自身相连而与外网隔离的 ......

漏洞分类 本地文件包含漏洞 包含本地文件/引用本地文件 远程文件包含漏洞 可以包含远程文件 本地文件包含漏洞 利用方式 文件包含 本地文件 通过回溯符 ../../ 的方式包含 /etc/passwd 文件。 http://www.xxxx.com?filename=../../../../../. ......

![[Pasted image 20230315092406.png]] 利用方式 修改头像 绕过方式 1. 前端JS校验 2. Conten-type检测 服务端是通过 content-type 判断类型，content-type 在客户端可被修改。 在上传脚本文件时，将conten-type修改 ......

任意文件读取与下载漏洞 任意文件读取与下载又名不安全的文件下载，一些网站的业务需要，可能提供文件查看或下载的功能，如果对用户查看或下载的文件不做限制，就能够查看或下载任意的文件，可以是源文件，敏感文件等等。 通过任意文件下载，可以下载服务器的任意文件，web 业务的代码，服务器和系统的具体配置信息， ......

漏洞分类 反射型 存储型 DOM型 反射型XSS 非持久化XSS，需要欺骗用户去点击才会出发XSS代码。 存储型XSS 持久化XSS，恶意代码存储在服务器的数据库中，用户访问即可触发XSS代码。 DOM型XSS 特殊类型的反射型XSS，基于DMO文档对象模型的一种漏洞。 dom 型 xss 是用过改 ......

1 前言 上节我们看了线程是如何创建启动的，那么启动以后线程怎么管理呢，这就要看我们线程的状态管理了，这节我们就来看看线程都有哪些状态以及什么操作下会驱使状态的变化流转。 2 状态定义 Java线程有6种状态定义在Thread的子类State，分别是NEW、RUNNABLE、BLOCKED、WAIT ......

一、实践目标 掌握信息搜集的最基础技能与常用工具的使用方法 各种搜索技巧的应用 DNS IP注册信息的查询 基本的扫描技术：主机发现、端口扫描、OS及服务版本探测、具体服务的查点（以自己主机为目标） 漏洞扫描：会扫，会看报告，会查漏洞说明，会修补漏洞（以自己主机为目标） 二．实践内容 （一）各种搜索 ......

头文件#include<graphcis.h> 一 基础绘图概念 1.颜色用三原色表示RGB (红色部分，绿色部分，蓝色部分) 每一部分的数值范围(0~255)。基本大写英文单词已对应 例如BLUE 蓝色 2.窗口坐标的默认原点在左上角(0,0)x轴正方向向右，y轴正方向向下。 二 窗口函数 ini ......

1 前言 本节开始我们来回顾下线程基础相关的东西，最近在复习所以来做一些笔记哈，这节我们来讲讲创建线程的方式。 2 创建分类 Java提供了两种线程的创建方法，第一种是继承Thread类；第二种是实现Runable接口，并将Runnable实例传递给Thread类。详细的可以参考官方文档哈：http ......

一、关机或重启命令 ''' 参数介绍 -h (hour小时的意思 后面跟具体时间12:30 常用 -h 0 或 -h now 都表示立刻) -c (cancel 取消关机或重启方案) -r (restart 重启 -h 0 或 -h now 都表示立刻重启) ''' shutown -h now # ......

实时消息推送是指在浏览器中展示实时更新的消息，而无需刷新页面。以下是七种实现Web实时消息推送的方案： 1、WebSocket: WebSocket是HTML5中新增的一种技术，它允许浏览器和服务器之间进行全双工通信，可以在服务器端推送消息给客户端，同时客户端也可以推送消息给服务器端。 2、Serv ......

yum实战命令： 安装： yum install -y:不交互安装 # 选项[y/d/N]: d代表只下载不安装 没有-d参数 yum localinstall 安装本地的rpm包，并安装依赖(从其他源里下载安装) yum reinstall 重装 # 可用于修复 查询： yum list 查询所有 ......

​ 文件上传是最古老的互联网操作之一，20多年来几乎没有怎么变化，还是操作麻烦、缺乏交互、用户体验差。 一、前端代码 英国程序员Remy Sharp总结了这些新的接口 ，本文在他的基础之上，讨论在前端采用HTML5的API，对文件上传进行渐进式增强： * iframe上传 * ajax上传 * 进度 ......

1.java jdk 1.8以上 安装 https://www.oracle.com/java/technologies/downloads/#jdk20-windows 2.Elasticsearch 7.6 安装 https://elasticsearch.cn/download/ 3.Elas ......

​ IE的自带下载功能中没有断点续传功能，要实现断点续传功能，需要用到HTTP协议中鲜为人知的几个响应头和请求头。 一. 两个必要响应头Accept-Ranges、ETag 客户端每次提交下载请求时，服务端都要添加这两个响应头，以保证客户端和服务端将此下载识别为可以断点续传的下载： Accept-R ......

let 查询2 = Json.Document(Binary.Decompress(Binary.FromText("i45WMjYwUNJRMjLUdSwoAjJMLYyUYnWilUywCMcCAA==", BinaryEncoding.Base64), Compression.Deflate) ......

先安装插件 npm install xlsx -s npm install file-saver -s 在本地封装导出方法，支持// 文件名：Export2MultipleSheetExcel//支持导出多个或者单个sheet import { saveAs } from "file-saver"; ......

​ 一、概述 所谓断点续传，其实只是指下载，也就是要从文件已经下载的地方开始继续下载。在以前版本的HTTP协议是不支持断点的，HTTP/1.1开始就支持了。一般断点下载时才用到Range和Content-Range实体头。HTTP协议本身不支持断点上传，需要自己实现。 二、Range 用于请求头中， ......

前言 针对很多大型的web应用，往往会衍生出很多子应用，而这些子应用之间有时候又往往需要进行交互或者复用一些功能或者组件，这个时候有没有一个比较好的策略来实现这样的交互呢。答案是有的，试试webpack5提供的Module Federation。 先来个示例 万事先实操，然后再谈别的，不付诸实践的想 ......

1、介绍 典型的响应拆分漏洞，是指攻击者可以控制参数，使得受害者用户的浏览器接收到的响应头部字段的名称或值被拆分成多个字段。 一般，在网络传输中，http的头部字段以\r\n结尾。但是如果响应字段中，包含攻击者控制的参数，本身存在\r\n，那么传输给用户客户端后，会被解析出下一个响应字段。 基于响应 ......

Markdown语法学习 标题 三级 四级标题 #空格加标题名称 字体 hello world 用**将前后包起来 hello world 用*将前后包起来 hello world 用***将前后包起来 ~~hello world~~ 用~~将前后包起来 引用 坚持就是胜利（>回车） 分割线 或者* ......

程序简单来说就是由代码组成的对象 当你打开程序时就会产生进程 进程会占用一定的空间内存 当使用进程时，会产生对应的线程（可以同时实现多操作多线程） ......

​ 4GB以上超大文件上传和断点续传服务器的实现 随着视频网站和大数据应用的普及，特别是高清视频和4K视频应用的到来，超大文件上传已经成为了日常的基础应用需求。 但是在很多情况下，平台运营方并没有大文件上传和断点续传的开发经验，往往在网上找一些简单的PHP或者Java程序来实现基本的上传功能，然而在 ......

db2高可用基础-主从hadr实践手册（centos8） 环境说明： 服务器地址：primary 192.168.247.128 secondary 192.168.247.168 数据库版本：db2高级企业版V10.5+ 环境需求：主备两侧关闭系统防火墙,信任网络互通，scp、ssh可正常跳转 查 ......

第 1 章是绪论。 第 2 章介绍信息论的一些基本概念， 包括自信息量 、互信息量 、离散信源熵 、熵的性质以及连续信源熵、最大熵定理等，对信源的信息给出定量描述 ，并解释冗余度的由来及作用。 这一章是后续章节的基础。 第 3 章介绍信道的分类及其表示参数 ，讨论各种信道能够达到的最大传输速率 ，即 ......

1. 基础概念 APScheduler是python中较为简洁直观的定时任务框架，提供了基于固定日期、时间间隔、crontab表达式三种任务类型,并且可以持久化任务(如:将定时任务保存到mysql中),方便我们去实现一个python定时任务系统。 APScheduler由四个部件组成： trigge ......

​ 第一点：Java代码实现文件上传 FormFile file = manform.getFile(); String newfileName = null; String newpathname = null; String fileAddre = "/numUp"; try { InputSt ......

设计三维图形类体系，要求如下： 设计三维图形功能接口，接口包含周长、面积、体积计算方法； 基于以上接口，首先定义点类，应包含x，y坐标数据成员，坐标获取及设置方法、显示方法等； 以点类为基类派生圆类，增加表示半径的数据成员，半径获取及设置方法，重载显示函数，并可计算周长和面积等； 以圆类为基础派生球 ......