初识 Java Spring 02
前置类的更改src/main/java/pojo/IdCard
package pojo;import java.io.Serializable;import java.util.Objects;// 身份证public class IdCard implements Serializable { private Integer id; private String idNo; // 身份证号 private String address; // 地址 public IdCard() { } @Override public String toString() { return "IdCard{" + "id=" + id + ", idNo='" + idNo + '\'' + ...
初识 Java Spring 01
Spring:全功能栈的应用程序框架各模块介绍
Test
对应 spring-test.jar。 Spring 提供的测试工具,可以整合 Junit 测试,简化测试环节。
Core Container
Spring 的核心组件,包含了 Spring 框架最基本的支撑。
Beans,对应 spring-beans.jar,Spring 进行对象管理时依赖的jar包。
Core,对应 spring-core.jar,Spring 核心 jar 包。
Context,对应 spring-context.jar,Spring 容器上下文对象。
SpEL,对应 spring-expression.jar,Spring 表达式语言。
AOP
面向切面编程,对应 spring-aop.jar。
Aspects
AspectJ 的具体实现,面向切面编程的另一种实现。对应 spring-aspects.jar。
Instrumentation
服务器代理接口的具体实现。对应 spring-instrument.jar。
Messaging
集成 messaging api 和消息协议提供支持。对应 s ...
浅谈 Java 反射
反射引入在项目中有 People 类,包含 name 和age属性。并生成 getter/setter 和 toString 方法。
public class People { private String name; private int age; //...}
如果我们想给 name 赋值 ’张三‘ ,age 赋值 0 的话:
public static void main(String[] args) { Scanner sc = new Scanner(System.in); System.out.println("请输入赋值的属性名称"); String filed = sc.next(); System.out.println("请给这个属性赋值"); String value = sc.next(); People people = new People(); switch (filed) { case "name" ...
ctfshow XXE 刷题记录
web373-web374传送门:
XXE学习记录 | Ed3n’s Blog
web375先看源码:
<?php/*# -*- coding: utf-8 -*-# @Author: h1xa# @Date: 2021-01-07 12:59:52# @Last Modified by: h1xa# @Last Modified time: 2021-01-07 15:22:05# @email: h1xa@ctfer.com# @link: https://ctfer.com*/error_reporting(0);libxml_disable_entity_loader(false);$xmlfile = file_get_contents('php://input');if(preg_match('/<\?xml version="1\.0"/', $xmlfile)){ die('error');}if(isset($xmlfile)){ ...
在 PHP 语言下的文件上传漏洞
文件上传webshell认识 WebShellwebshell 概念Webshell 是黑客经常使用的一种恶意脚本,其目的是获得服务器的执行操作权限,以 aspx、php、jsp 等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。
常见的后端开发语言主要有 Java、.net、php,而 WebShell 就是 jsp、aspx、php等网页文件形式存在的一种命令、代码执行环境,也可以将其称做为一种网页木马后门。
黑客在入侵了一个网站后,通常会将 jsp、aspx 或 php 后门文件与网站服务器 WEB 目录下正常的网页文件混在一起。然后就可以使用浏览 器来访问后门文件,得到一个命令执行环境,以达到控制网站服务器的目的。
优点可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过 http/https 协议(默认 80、443 端口)传递的,因此不会被防火墙拦截。
使用 WebShell 一般不会在系统日志中留下记录,只会在网站的 web 日志(比如 apache 的 access.log)中留下一些数据提交记录,没有经验的管理员是很难看出入侵 ...
XXE 学习记录
前言:
上上周的青少年CTF擂台挑战赛 2024 #Round 1中,有一道XXE的题目,结合我对 moectf 那道XXE的印象,感觉都是直接复制、黏贴答案模板后改改就出了,没有系统的认真学;趁着有想法的时候把 XXE 系统学个一遍。。。
XXE什么是 XXE?XXE 全称是:XML External Entity,也就是 XML 外部实体注入攻击,由于程序在解析输入的 XML 数据时,解析了攻击者伪造的外部实体而产生的。有XXE漏洞的标志性函数为simplexml_load_string()。漏洞是在对不安全的外部实体数据进行处理时引发的安全问题。
XML 基础学习( XXE 要从认识 XML 开始):XML指可扩展标记语言(EXtensible Markup Language)是一种标记语言,很类似 HTML。XML的设计宗旨是传输数据,而非显示数据。XML标签没有被预定义。需要自行定义标签。XML被设计为具有自我描述性。XML是 W3C 的推荐标准。
XML 是不作为的:也许这有点难以理解,但是 XML 不会做任何事情。XML 被设计用来结构化、存储以及传输信息。
下面是 Jo ...