漏洞swagger api
Angular 框架那些著名的安全漏洞
Angular 是一个流行的前端框架,一直以来都非常关注安全性。然而,没有任何软件是绝对免疫于漏洞的,Angular 也曾经暴露过一些安全漏洞。在本文中,我将介绍 Angular 自诞生以来曝露的一些重大安全漏洞,并解释 Angular 团队是如何应对这些漏洞的。 1. AngularJS 模板注入 ......
用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞
漏洞简介 用友GRP-U8 bx_historyDataCheck.jsp存在sql注入,攻击者可利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。 漏洞复现 fofa语法:app="用友-GRP-U8" 页面如下: POC: POST /u8 ......
用友反序列化漏洞综合
用友NC序列化漏洞综合利用工具分享 下载地址 https://github.com/wgpsec/YongYouNcTool java11以上的环境可使用 集成了以下漏洞 BshServlet rce jsInvoke rce DeleteServlet cc6 反序列化 DownloadServl ......
用友NC accept.jsp任意文件上传漏洞
漏洞简介 用友NC accept.jsp处存在任意文件上传漏洞,攻击者通过漏洞可以获取网站权限,导致服务器失陷。 漏洞复现 fofa语法:app="用友-UFIDA-NC" 登录页面如下: POC POST /aim/equipmap/accept.jsp HTTP/1.1 Host: 106.14 ......
javaweb--API详解-PreparedStatemen
PreparedStatemen 1、预编译SQL语句并执行,预防SQL注入问题 对关键字进行转义 登录模块 package com.avb.jdbc; import java.sql.Connection; import java.sql.DriverManager; import java.sq ......
用友NC FileReceiveServlet任意文件上传漏洞
漏洞简介 用友NC6.5的FileReceiveServlet接口,存在任意文件上传漏洞。漏洞成因在于上传文件处未作类型限制,未经身份验证的攻击者可通过向目标系统发送特制数据包来利用此漏洞,成功利用此漏洞的远程攻击者可在目标系统上传任意文件执行命令。 漏洞复现 fofa语法:app="用友-UFID ......
javaweb--API详解--ResultSet
ResultSet 封装DQL查询语句的结果 Boolean next():(1)、将光标从当前位置向前移动一行 (2)、判断当前行是否为有效行 getxxx(参数):获取数据 xxx:数据类型 int getint/String getString() 参数: int:列的编号,从1开始 Stri ......
javaweb--JDBC的API-Connection
1、获取执行SQL对象 2、管理事务 setAutoCommit(bool) true为自动提交false为手动提交 commit()提交事务 rollback()回滚事务 package com.avb.jdbc; import java.sql.Connection; import java.s ......
javaweb--JDBC的API-DriverManager
DriverManager可以实现的功能 1、注册驱动 Class forName("com.mysql.jdbc.Driver"); 查看Driver类源码 在静态代码块中会运行DriverManager类 mysql5以后的驱动包可以省略注册驱动步骤 2、获取连接 java:mysql://ip ......
【pwn】[MoeCTF 2022]babyfmt --格式化字符串漏洞,got表劫持
拿到程序,先checksec一下 发现是Partial RELRO,got表可修改 当RELRO保护为NO RELRO的时候,init.array、fini.array、got.plt均可读可写;为PARTIAL RELRO的时候,ini.array、fini.array可读不可写,got.plt可 ......
FreeSWITCH添加自定义endpoint之api及app开发
操作系统 :CentOS 7.6_x64 FreeSWITCH版本 :1.10.9 之前写过FreeSWITCH添加自定义endpoint的文章,今天整理下api及app开发的笔记。历史文章可参考如下链接: FreeSWITCH添加自定义endpointFreeSWITCH添加自定义endpoint ......
Log4J2漏洞(CVE-2021-44228)原理
Log4J2漏洞(CVE-2021-44228)原理 一、漏洞简介 Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发 者可以利用该工具将程序的输入输出信息进行日志记录。 2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4 ......
用友U8-Cloud upload.jsp 任意文件上传漏洞
漏洞简介 U8 cloud 聚焦成长型、创新型企业的云 ERP,基于全新的企业互联网应用设计理念,为企业提供集人财物客、产供销于一体的云 ERP 整体解决方案,全面支持多组织业务协同、智能财务,人力服务、构建产业链智造平台,融合用友云服务实现企业互联网资源连接、共享、协同。 该系统upload.js ......
用友GRP-U8 license_check.jsp sql注入漏洞
漏洞描述 用友 GRP-U8 license_check.jsp 存在sql注入,攻击者可利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。 漏洞复现 fofa语法:app="用友-GRP-U8" 登录页面如下: POC: /u8qx/lice ......
JAVA - Obejects api
package com.demo2; import com.demo.Demo1; import java.util.Objects; public class Test { public static void main(String[] args) { String name = null; S ......
如何使用nodejs对接【企查查开放平台API服务】
下面分享一下如何对接企查查API接口相关内容。 API服务对接流程: 1、登录|注册:先打开企查查开放平台网站(https://openapi.qcc.com),菜单栏中右上角【登录|注册】; 2.打开API服务列表通过顶部导航菜单【API】,可以查看所有服务列表,里面包含了很多API接口,此处不具 ......
支持自动生成API文档 Apipost 真香
在数字化时代,API已经成为了应用程序之间进行通信的关键桥梁。随着API的普及和复杂性的增加,API研发和管理也面临着越来越多的挑战。为了更好地应对这些挑战,Apipost提供了一整套API研发工具,包括API设计、API调试、API文档和API自动化测试等功能。本文将深入介绍Apipost的优势和 ......
Python:爬取某软件站数据报错requests.exceptions.SSLError: HTTPSConnectionPool(host='api.***.cn', port = 443):
使用Python爬取某网站数据时候,之前一直是好好的。突然就报错:requests.exceptions.SSLError: HTTPSConnectionPool(host='api.***.cn', port = 443): Max retries exceeded with url: /acc ......
【Python&GIS】基于高德Api实现批量地址查询经纬度
之前因为同事需要几千个小区的经纬度信息,所以就帮同事写了一段Python代码,通过调取高德地图的api实现地址查询经纬度这个功能。对于如何使用经纬度查询地址的方法,我之前分享过博文:【Python入门教程】获取图片可视化精准定位(逆地理编码),如果大家感兴趣可以自己去看下。这次主要是分享如何通过地址... ......
传统的API网关和SpringCloud Gateway区别对比
传统的API网关和Spring Cloud Gateway的主要区别在于架构和性能。传统的API网关通常是独立于各个后端服务的,请求会先打到独立的网关层,再转发到服务集群。而Spring Cloud Gateway则将流量从南北走向改为东西走向,微服务网关和后端服务是在同一个容器中的,也被称为Gat ......
API - 几种API接口模式 - RESTful、WebSocket、GraphQL、gRPC、Webhook
总结TODO ..... 当思考使用哪种API接口时,你将会面临一个重要的决策。RESTful、GraphQL、gRPC、WebSocket和Webhook是当前流行的几种API接口模式。在本文中,我们将介绍这些接口的特点、用途和比较,帮助你选择最适合你应用程序需求的接口。 引言 随着现代应用程序的 ......
jenkins 使用api生成api-token
一,背景 在使用jenkins-API的情况下,不方便存储用户API时可以在用户首次登陆的时候生成token-api 二,获取JSESSIONID和Jenkins-Crumb curl -verbose -s 'http://127.0.0.1:8080/crumbIssuer/api/json' ......
wechat 获取用户信息API
/// <summary> /// 获取用户信息 /// </summary> /// <param name="openId"></param> /// <returns></returns> [Route("GetUserInfo")] [HttpPost] public IActionResu ......
.net 调取api接口直接输出excel
[Route("DownloadOrders")] [HttpPost] public IActionResult DownloadOrders() { var input = new GetStudentByIdInput(); var list = _studentService.QuerySt ......
API 上传图片 上传文件(Base64)
/// <summary> /// 上传图片 /// </summary> /// <returns></returns> [Route("UploadImg")] [HttpPost] public IActionResult UploadImg(List<IFormFile> files) { ......
C# - 自建 SDK 的 API 文档
自己动手创建 .NET 库时,需要注意什么?一些自建库小技巧分享给大家。
本期入门 API 文档的构建,自建 SDK 一定不要忽视它的 API 文档,这将关乎你的 SDK 是否健壮、友好。 ......
web基础漏洞-额外
1、介绍 这里阐述除了web基础漏洞之外的漏洞大全,简要列举,以供快速查询。分为几大类:服务器容器、cms、前端api、后端api、操作系统和端口服务 2、服务器容器 tomcat后台弱口令war包上传 tomcat put漏洞 tomcat ajp漏洞 nignx目录穿越漏洞 apache解析顺序 ......
Yii反序列化漏洞的学习
Yii反序列化漏洞的学习 Yii框架 Yii是一个适用于开发Web2.0应用程序的高性能PHP框架。 Yii 是一个通用的 Web 编程框架,即可以用于开发各种用 PHP 构建的 Web 应用。 因为基于组件的框架结构和设计精巧的缓存支持,它特别适合开发大型应用, 如门户网站、社区、内容管理系统(C ......
701-703 API资源对象CustomResourceDefinition Operator 7.1-7.3
一、API资源对象CRD CustomResourceDefinition(CRD) 允许自定义创建资源类型,Kubernetes API接口可以管理CRD资源。CRD已成为扩展Kubernetes的流行机制,在Kubernetes生态系统中的各种项目和框架中广泛使用,如Prometheus、Ist ......