漏洞swagger api

先在api右键属性 在Program里面： builder.Services.AddSwaggerGen(a =>{ string path = AppDomain.CurrentDomain.BaseDirectory + "Demo.WebApi.xml"; a.IncludeXmlCommen ......

简介： Metabase是什么？ 在传统企业的数据可视化业务中，通常需要从需求到审批，再到安排开发人员和排期，还要开发人员撰写代码最后再做导出。流程繁琐，参与的人员也多，往往需要几天甚至几周的时间！ 使用 Metabase 可以大大节省成本，简单易上手，Metabase 把数据分析常用的查询通过一个 ......

樱花：https://www.dmoe.cc/random.php 晓晴博客：https://acg.toubiec.cn/random.php Unsplash Image API： https://source.unsplash.com/random 夏沫博客： https://cdn.seov ......

一、Java XML解析库简介 Java 解析 XML 的四种方式 1、DOM（Document Object Model）解析 1）优缺点 优点 允许应用程序对数据和结构做出更改 访问是双向的，可以在任何时候再树中上、下导航获取、操作任意部分的数据 缺点 解析XML文档的需要加载整个文档来构造层次 ......

记录分享一下工作上遇到的一个洞 进入根域名，404 目录扫描，发现/conf/catalina.properties路径， catalina.properties是配置tomcat的安全设置、类加载设置、不需要扫描的类设置、字符缓存设置四大块。 既然是访问到tomcat的配置文件了，那么就尝试访问/ ......

经过搜索， 并没有找到相应的api， 在Autodesk论坛中找到了这个帖子， 给出的解决方法是创建一个特定的路线样式， 在样式中关闭警示符的显示。 ......

pom文件中导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-configuration-processor</artifactId> </dependency> applica ......

How to fix Fetch API GET request return an opaque response bug All In One Status Code: 302 Found fetch(`https://www.hulu.com/watch/78974b54-1feb-43ce- ......

 ![](https://img2023.cnblogs.com/blog/2114512/202310/2114... ......

随着互联网的发展，越来越多的应用和服务需要通过API接口来实现。API（Application Programming Interface，应用程序编程接口）可以理解为两个软件之间的桥梁，通过API接口，两个软件可以相互交流并进行数据交换。如今，API已经成为许多公司和应用程序的核心，因此快速搭建并 ......

1、介绍 越权，是指攻击者访问或者操作了超过当前身份权限的资源。 2、场景 (1)水平越权 攻击者登录账号，对其它账号的专属数据进行了请求或操作。 (2)垂直越权1 攻击者未登录，而直接对账号专属数据进行了请求或操作。 (3)垂直越权2 攻击者登录，但是对需要更高权限的数据进行了请求或操作。 3、防 ......

1、介绍 逻辑漏洞是由于业务代码的逻辑缺失或者错误，导致的漏洞。 2、场景 2.1 可爆破可猜解 弱账号密码 验证码 登录凭证cookie或token，以及访问口令 优惠券id，图片id，博客id等 找回密码的问答 2.2 步骤可跳过 (1)某功能分为多个页面/接口，可以直接请求后面的页面/接口 ( ......

1、介绍 验证码爆破，攻击者可以持续请求验证，从而获取正确验证码。 2、防护 (1)限制验证码有效时间 如果设置相对较长的验证码有效时间，那么攻击者就可以用较低的频率爆破。反之，验证码有效时间相对较短，则对爆破的频率提出高要求，这既考验攻击者的硬件和软件，也考验网络传输和服务端压力。提高爆破难度 ( ......

手把手用实战教你SSRF漏洞从入门到精通 - FreeBuf网络安全行业门户 (1 封私信 / 38 条消息) ssrf业务 - 搜索结果 - 知乎 (zhihu.com) 1、介绍 ssrf，server-server request forgery服务端到服务端的请求伪造，或者server-si ......

1、介绍 url重定向漏洞，是指攻击者可以控制用户的浏览器中的url形式参数，并被解析执行，造成危害。 2、场景 2.1 跳转 使用户信任新跳转的站点，进行钓鱼 3xx location字段 js跳转 form跳转 超链接a 2.2 引入资源 利用：钓鱼，引入脚本，向外部请求提供referer sc ......

参考： GitHub API for Java – (kohsuke.org) 依赖： <dependency> <groupId>org.kohsuke</groupId> <artifactId>github-api</artifactId> <version>1.135</version> < ......

导读 Wine 8.16 最新开发版已发布。 Wine (Wine Is Not an Emulator) 是一个能够在多种兼容 POSIX 接口的操作系统（诸如 Linux、macOS 与 BSD 等）上运行 Windows 应用的兼容层。它不是像虚拟机或者模拟器一样模仿内部的 Windows 逻 ......

漏洞简介 泛微 E-Office 协同办公平台/E-mobile/App/Init.php接口存在SQL注入漏洞，攻击者可利用该漏洞执行任意SQL语句，进行增、删、改、查等数据库操作，造成数据库敏感数据信息泄露或被篡改； 漏洞复现 fofa语法：app="泛微-EOffice" 登录页面如下： PO ......

基于chromium103版本 1. 自定义扩展API接口 chromium默认扩展api接口中有chrome.runtime.*,和chrome.send.*等，现在我们就仿照chrome.runtime方式来定义自己的接口，供给插件或者网页使用。 其实chromium 增加自定义 api 接口， ......

java基础漏洞学习 基础命令执行漏洞 基础命令执行常见方法 1.ProcessBuilder package com.example.servletdemo; import java.io.BufferedReader; import java.io.IOException; import jav ......

Shiro简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 目前为止，shiro反序列漏洞，目前公开的就两种： 1、shiro- ......

java基础漏洞学习 文件操作漏洞 前置基础知识 https://www.cnblogs.com/thebeastofwar/p/17760812.html 文件上传漏洞 文件上传的方式 1.通过文件流 index.jsp <%@ page language="java" contentType=" ......

sql注入的自动测试，为了便于处理，将其分为两个阶段分别处理，即漏洞测试发现和漏洞利用。前者更加普遍和重要。 1、自动测试流程 1.1 选择业务和sql语句 insert delete update select where id=? select where title like '?' sele ......

前提：确实存在sql注入，换句话说未使用预编译，绕过才有可能。 这里阐述针对的是mysql语法。 1、大小写混杂 2、双写绕过 如果服务端检查到敏感词，对其删除后继续执行。那么可以提交数据时进行双写绕过，比如selselectect，提交后变为select 拓展来说，如果服务端最多检查n次，并且每次 ......

1、介绍 sql注入，是目标网站提供了接口，使得攻击者可以从前端提交数据，然后未经过严格检查，被拼接到sql语句中，交给sql应用执行。从而导致恶意构造的payload破坏原有的sql语句结构，执行超预期的功能，造成危害。 几乎所有的sql应用都存在sql注入漏洞，但一般讨论和测试时以mysql为主 ......

权限绕过漏洞 权限绕过（也叫越权）漏洞是指攻击者通过利用系统或应用程序中的漏洞，绕过了正常的权限控制机制，获得了比他们应该具有的更高权限。 可以通过越权漏洞访问他人信息或者操纵他人账号 其中权限绕过又有水平越权和垂直越权两种 形成原因 形成的原因：主要是因为开发人员对数据的增、删、改、查时对客户端请 ......

sm3加密代码及测试截图 sm3代码：用sm3加密“20211115fanyiqing”生成摘要值作为输出。 1 #include <stdio.h> 2 #include <string.h> 3 #include "openssl/evp.h" 4 #include "err.h" 5 6 vo ......

手工测试，一般是指结合浏览器和burp的重放进行。 1、反射型xss手工测试 1.1 测试是否返回 如果测试参数在响应的体部中并未返回，那么基本可以判断不存在反射型xss。 问题1：测试参数在响应中固有 如果测试参数除了包含返回之外，还存在固有。这样的话，直接根据测试参数是否在响应体部中包含就没有意 ......

在数字化时代，API已成为企业和开发者实现数据互通、应用集成的重要桥梁。然而，随着API数量的不断增加，API设计、调试、文档和测试等工作也变得越来越复杂。为了解决这一痛点，一款名为Apipost的API协同研发工具应运而生，它为API开发者提供了一站式解决方案。 成功案例 许多知名的公司和团队都在 ......

1、介绍 xss，cross site script跨站脚本攻击，是指攻击者构造payload，使其在用户的浏览器上解析为脚本执行，从而造成危害。 脚本一般是指js，但广义上vbscript和actionscript(flash)等其它脚本可以造成xss。 xss一般发生在浏览器，但广义上任何支持脚 ......