sh0rk的博客

原创 Vue-CLI

Vue-CLI官方文档入门视频学习安装# 安装 vuenpm install vue# 全局安装 vue-clinpm install --global vue-cli开始项目# 创建一个基于 webpack 模板的新项目,这里需要进行一些配置，默认回车即可vue init webpack my-projectcd my-projectnpm installnpm ru...

原创 Vue-CDN Demo

Vue-CDNindex.html<!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8"> <title>Vue.js</title> <link rel="stylesheet&qu

原创 chrome插件

日常：广告屏蔽：adBlock插件管理软件：One key Manger脚本管理：Tampermonkeychrome使用vim操作：Vimium翻译插件：划词翻译gmail邮箱插件：Checker Plus for Gmail实用：网页内容高亮保存笔记：Additor截屏，录屏：Awesome Screenshot，Take Webpage Screenshots Ent...

原创 业务逻辑漏洞

业务逻辑漏洞权限绕过漏洞支付逻辑漏洞密码找回漏洞验证码暴力破解验证码重复使用验证码客户端回显验证码绕过验证码自动识别

原创 文件上传漏洞

文件上传漏洞什么是文件上传漏洞利用方法进阶防御什么是文件上传漏洞利用可以上传的地方将恶意代码植入到服务器中，再通过url去访问以执行代码。利用方法客户端验证绕过文件名绕过Content-Type绕过CONTENT-LENGTH绕过解析漏洞利用windows特性，会自动去掉后缀名中最后的”.”，可在后缀名中加”.”绕过进阶重汇图phpinfo与本地文件包含利用在线解压...

原创 文件包含漏洞

文件包含什么是文件包含利用方法本地文件包含远程文件包含进阶防御什么是文件包含顾名思义，打开并包含本地或者远程文件的漏洞利用方法本地文件包含远程文件包含进阶LFI with PHPInfo防御严格判断包含中的参数是否外部可控路径限制：限制被包含的文件只能在某一文件夹内，一定要禁止目录跳转字符如"../","..\"使用白名单!!!...

原创 SSRF(服务器端请求伪造)

SSRF什么是SSRF利用方法进阶防御检测请求url流程什么是SSRFSSRF(Server-Side Request Forgery)，服务器端请求伪造，利用漏洞伪造服务器端发起请求，从而突破客户端获取不到数据限制。利用方法进阶ssrf绕过技巧file协议的运用gopher协议的运用dict协议应用防御代码防御（严格按照公司的内部代码规范进行代码的编写）检测请求url流...

原创 XXE(外部实体注入攻击)

XXE什么是XXE利用方法进阶学习防御理论上的防御措施实践有效的防御措施什么是XXEXXE：XML External Entity 即外部实体，从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时，解析了攻击者伪造的外部实体而产生的。利用方法file:///C:/Windows/win.ini<?xml versi...

原创 SQL注入

SQL注入什么是sql注入利用方法手工简单识别工具识别分类进阶防御什么是sql注入sql注入是一种常见的Web安全漏洞，攻击者利用这个漏洞，可以访问或修改数据，或者利用潜在的数据库漏洞进行攻击利用方法获取用户请求的参数拼接到代码中拼接到代码中SQL语句按照我们构造参数的语义执行成功SQL语句按照我们构造参数的语义执行成功手工简单识别and 1=1and ‘1’=1and 1...

原创 Command Injection（命令注入）

Command Injection（命令注入）什么是命令注入利用方法判断步骤使用进阶防御什么是命令注入恶意用户通过构造请求，对于一些执行系统命令的功能点进行构造注入，本质上是数据与代码未分离。对于特殊的需求没有对请求进行过滤，导致绕过从而导致注入。利用方法判断步骤判断是否执行系统命令判断函数或函数的参数是否可控判断函数或函数的参数是否可控判断是否拼接注入命令判断是否拼接注入命令...

原创 mysql循环

-- DROP PROCEDURE test_insertDELIMITER ;; CREATE PROCEDURE test_insert () BEGIN DECLARE i INT DEFAULT 1;WHILE i<500 DO insert into areainfo VALUES (i,"province","city","area&quot

原创 windows快捷键

操作中心• Win+A：打开操作中心（注：下面几个快捷键在打开操作中心后执行）• Tab：在通知、通知组以及快捷按钮之间向前移动• Shift+Tab：在通知、通知组以及快捷按钮之间向后移动• 空格或Enter：打开选定的项• Delete：删除选定的通知或通知组窗口大小调整• Win+上/下：使应用窗口在最大化，正常状态以及最小化之间进行切换（非新增）• Win+左/右：使应用窗...

原创 windows实用软件

截图贴图Snipaste视频播放器potPlayer文件预览工具seer剪贴板增强工具ditto文件管理软件rolan文件搜索工具everything

原创 nginx ftp索引配置

登陆服务器，修改/etc/nginx/nginx.conf# 在需要添加索引的server中添加location / { # 启动索引功能 autoindex on; # 显示文件时间 autoindex_localtime on; }...

原创 nginx二级域名配置

在域名解析的控制台进行操作，我这里用的是腾讯云的服务器。添加记录：保存：登陆服务器，修改/etc/nginx/nginx.conf server { listen 80 default_server; listen [::]:80 default_server; server_name _;...

原创 centos安装nginx

安装登陆服务器，判断是否为root，不是则sudo su提升为管理员权限yum update更新apt源yum install gcc-c++ pcre pcre-devel zlib zlib-devel openssl openssl-devel -y安装一系列依赖yum install nginx -y安装nginxsystemctl start nginx.service启动n...

原创 tomcat访问路径与虚拟路径

直接访问在webapps/ROOT底下创建a.html， 在浏览器里面访问：http://localhost:8080/a.html在webaps下面新建一个文件夹myweb , 然后把a.html放进去http://localhost:8080/myweb/a.htmlhttp://localhost:8080 ： 对应的是webapps/roothttp://localhos...

原创 CSRF(Cross-site request forgery)

CSRF什么是CSRF利用方法进阶防御什么是CSRFCSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。利用方法index.jsp<html><head> <title>CSRF Te...

原创 XSS(Cross Site Scripting)

XSS什么是XSS分类利用方法进阶防御什么是XSS跨站脚本攻击(Cross Site Scripting)，为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。分类利用方法...

原创 URL跳转漏洞

URL跳转漏洞什么是URL跳转利用方法进阶防御什么是URL跳转借助未认证的URL跳转，将应用程序引导到不安全的第三方区域，从而导致的安全问题。利用方法Header头跳转:通过设置Location进行跳转JavaScript跳转:通过window.location.href进行跳转<%@ page contentType="text/html;charset=UTF-8" lang...

原创 点击劫持(ClickJacking)

点击劫持什么是点击劫持？方法进阶(本质上还是UI覆盖攻击，只是实现手段不一样)防御什么是点击劫持？点击劫持(ClickJacking)，又称“UI-覆盖攻击”，通过覆盖不可见的框架误导受害者进行点击而造成的攻击行为。其本质是一种视觉欺骗。方法利用iframe或其他标签的属性构造一个精心构造的页面，诱导受害者进行点击。<!DOCTYPE HTML><html>&...

原创 IDEA配置JUnit进行单元测试

安装JUnitGenerator V2.0JUnit可以运行JUnit测试文件，但无法自动生成JUnit测试代码：所以这里安装JUnitGenerator V2.0修改自动生成时，时间处的乱码选择JUnit 4生成的测试文件@since位置Date可能存在乱码，可配置JUnit模板更改日期格式生成自动测试文件...

原创 Servlet学习笔记

Servlet概述JSP的前身就是Servlet。因此我们乐意清楚的知道Servlet是JSP的基础。Servlet是运行在Web服务器或应用服务器上的程序，它是作为来自Web浏览器或其他HTTP客户端的请求和HTTP服务器上的数据库或应用程序之间的中间层。Servlet就像任何其他的Java类一样已经被创建和编译。Servlet在Web...

原创 IDEA开发Servlet

需要先配置好Tomcat再进行创建一个Web项目项目结构如图新建一个servlet修改MyServle修改index.jsp,serlect/MyServlet修改web.xml ...

原创 idea设置默认maven路径

原创 idea配置Maven

配置：测试：1.左边选择Maven2.勾选Create from archetype3.选择org.apache.maven.archetypes:maven-archetype-quickstart4.Next项目参数确认创建项目自动安装一些包...

原创 文章目录

Markdown学习Markdown学习Java学习Servlet学习笔记Java问题Tomcat问题修改Tomcat服务器默认端口Jsp问题Jsp中自定义方法使用JspWriter报错工具配置与使用idea配置与使用使用IDEA部署TomcatIdea配置Gitidea配置Mavenidea设...

原创 Idea配置Git

原创 修改Tomcat服务器默认端口

0.打开Tomcat安装目录下的conf文件夹1.修改端口值

原创 Jsp中自定义方法使用JspWriter报错

原因：idea没有添加默认的包设置全局依赖添加默认的包

原创 使用IDEA部署Tomcat

IDEA帮助文档Tomcat部署步骤：参考：CSDN博客

原创 Tomcat安装与配置

Tomcat官网下载:选择版本，下载安装包下载完毕后，直接解压即可使用设置环境变量：CATALINA_HOMElocalhost:8080 ...

原创 Jdk配置环境变量

下载：Java官网下载Jdk安装：记好安装路径，类似C:\Program Files\Java\jdk-9.0.1环境变量配置：JAVA_HOME%java_home%\bin.;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools...

原创 Markdown学习

标题格式一级标题二级标题无序列表文本文本文本有序列表文本我是文本文本插入连接简书插入图片引用他人文字我在引用他人文字斜体我是斜体粗体我是粗体代码引用单行...