首先进行代码审计,可以看到传入一个page值,但值中不可以出现php://, 会被过滤为空, 先说我的思路,这里其实可以通过大小写绕过strstr()函数, 然后php://input 可以读取到来自post的原始数据,就会发现一个可疑的.php文件 读取这个文件就得到了需要的flag 下面将看了大 ...
分类:
Web程序 时间:
2021-03-06 14:12:47
阅读次数:
0
1、在项目的settings.py文件中的REST_FRAMEWORK 字典修改DRF配置信息 # 修改DRF配置信息 REST_FRAMEWORK = { ...# d.指定后端使用的渲染器 # 会自动根据请求头中的Accept字段来,返回前端需要的数据格式 # 请求头中默认如果未添加Accept ...
分类:
编程语言 时间:
2021-03-05 12:54:09
阅读次数:
0
Stream流 在日常开发中,对集合或者Map之类的数据整合操作是十分常见的。Java8中提供了Stream流的处理方式,可以极大的简化书写长度,便于查阅和使用。 一、Stream流的操作分类 生成操作 通过数据源(集合、数组等)生成流。如:list.steam() 中间操作 对流进行某种程度的过滤 ...
分类:
其他好文 时间:
2021-03-03 12:02:27
阅读次数:
0
虚拟用户虚拟用户认证所使用的账号和密码都不是服务器中真实存在的,其安全性比本地用户更好,即使被抓包获取到账号密码都无法直接登录到服务器。配置虚拟用户的流程如下:(1)建立虚拟用户数据库文件(2)创建根目录及虚拟用户映射的系统用户(3)建立支持虚拟用户的PAM认证文件(4)在vsftpd.conf中添 ...
分类:
其他好文 时间:
2021-03-03 11:52:48
阅读次数:
0
一 布隆过滤器简介 bloomfilter:是一个通过多哈希函数映射到一张表的数据结构,能够快速的判断一个元素在一个集合内是否存在,具有很好的空间和时间效率。(典型例子,爬虫url去重) 原理: BloomFilter 会开辟一个m位的bitArray(位数组),开始所有数据全部置 0 。当一个元素 ...
分类:
其他好文 时间:
2021-03-01 13:19:00
阅读次数:
0
一、XSS漏洞概述 二、XSS漏洞类型及测试流程 三、反射型XSS(get&post)演示和原理分析 四、存储型XSS演示和原理分析 五、DOM型XSS演示和原理分析 六、XSS的危害 1. 获取cookie的原理和实验演示 2. 进行钓鱼的原理和实验演示 3. 获取键盘记录的原理和实验演示 七、X ...
分类:
其他好文 时间:
2021-02-27 13:24:22
阅读次数:
0
Mock概念 mock 的意思是模拟,也就是模拟接口返回的信息,用已有的信息替换它需要返回的信息,从实现对所依赖的模块的测试。 一般有两种场景: 前端对后端接口的 mock, 后端服务之间的测试中涉及的mock,常常发生在单元测试的时候。 前端mock可以通过一些工具来完成: 使用抓包工具Fiddl ...
分类:
编程语言 时间:
2021-02-26 12:52:30
阅读次数:
0
全局过滤器作用于所有的路由,不需要单独配置,我们可以用它来实现很多统一化处理的业务需求,比如权限认证、IP 访问限制等。 接口定义类 org.springframework.cloud.gateway.filter.GlobalFilter public interface GlobalFilter ...
分类:
编程语言 时间:
2021-02-23 14:13:28
阅读次数:
0
来源一:过期引用 public class Stack { // 底层使用的是数组 没毛病 private Object[] elements; // size作为指针 没毛病 private int size = 0; // 默认容量 没毛病 private static final int DE ...
分类:
其他好文 时间:
2021-02-22 12:42:58
阅读次数:
0
介绍 strace是一个动态跟踪工具,它可以跟踪系统调用的执行。我们可以把他当成一个键盘记录的后门,来扩大我们的信息收集范围 使用场景 通过其他方式拿到shell,通过history、流量抓包、或者本地没有翻到密码的情况。我们想要获取当前主机的密码,或者通过这台主机连接到其他主机的密码。 记录ssh ...
分类:
系统相关 时间:
2021-02-22 12:37:54
阅读次数:
0
