一.什么是XXE 1.XML实体简介 (1)在一段时间中,XML都是WEB信息传输的主要方法,时至今日XML在WEB中作为前后台之间传递数据的结构,依然发挥着重要的作用.在XML中有一种结构叫做实体: (2)一般其定义的标签关键字ENTITY,分为如下两种: 一般实体<!ENTITY entity_name "entity_text"> 引用实体&name 参数实体!ENTITY % entity_name "entity_text"> 引…

一.SQL盲注: 看不到回显的,无法从返回直接读取到数据库内容的对数据的猜解,属于盲注. 二.第一种--基于布尔类型的盲注: 这种很简单,最典型的例子,就是挖SQL注入的时候常用的: ''' http://www.localhost.com/sqlinjection?id=1'%20and%20'1'='1 http://www.localhost.com/sqlinjection?id=1'%20and%20'1'='2 ''' 实战时.前面一个判断是永真的时候,拼接一个判断,例如[subst…

背景: 在WEB安全的学习过程中,了解过了原理之后,就是学习各种Payload,这里面蕴藏着丰富的知识含量,是在基本上覆盖了漏洞原理之后的进一步深入学习的必经之路.无理是Burpsuite还是Sqlmap.Awvs亦或是其他工具,包括人工收工构造的Payload都有很高的记录和学习意义,一方面如上所说的提高对WEB安全的掌握和理解,另一方面也对WEB安全自动化测试做积累. 需求: 记录WEB安全各种报文payload的工具 开发语言: Python2.7 依赖第三方库: pypcap dpkt…

一.通配符简介: 一般来讲,通配符包含*和?,都是英文符号,*用来匹配任意个任意字符,?用来匹配一个任意字符. 举个例子使用通配符查看文件,可以很名下看到打卡的文件是/etc/resolv.conf: └─[$]> /???/r????v.c??f # # macOS Notice # # This file is not consulted for DNS hostname resolution, address # resolution, or the DNS query routing m…

版本:Pycharm2017.3.4Professional Edition 一.Pycharm的基本使用1.在Pycharm下为你的python项目配置python解释器 file --settings ---Project:你的项目名---Project Interpreter ---在右侧选择你需要的python版本---apply---ok 2.在Pycharm下创建python文件.python模块 (1) File---New---Python File (2) File---New…

一.CORS领域问题: 1.CORS的介绍请参考:跨域资源共享简介 2.HTML5中的XHR2级调用可以打开一个socket连接,发送HTTP请求,有趣的是,上传文件这里恰恰是multi-part/form-data恰恰符合要求,不需要preflight,所而且可以带cookie等认证信息.完美的绕过了所有的跨域共享防御机制. <script language=javascript type=text/javascript> functiongetMe() { varhttp; http=ne…

一.URL跳转篇: 1.原理:先来看这段代码: <?php if(isset($_GET["url_redircetion_target"])){ $url_redirected_target = $_GET["url_redircetion_target"]; echo "<script>alert(\"Pass To The Next URL\")</script><br><scrip…

接着上节的继续学习,现在要显示所有主题的页面 有了高效的网页创建方法,就能专注于另外两个网页了:显示全部主题的网页以及显示特定主题中条目的网页.所有主题页面显示用户创建的所有主题,它是第一个需要使用数据的网页. 一 显示所有主题的页面 1 URL模式 #定义learning_logs的URL模式 from django.conf.urls import url from . import views app_name='learning_logs' urlpatterns=[ #主页 url(r…

接着上节的继续学习,现在要显示所有主题的页面 有了高效的网页创建方法,就能专注于另外两个网页了:显示全部主题的网页以及显示特定主题中条目的网页.所有主题页面显示用户创建的所有主题,它是第一个需要使用数据的网页. 一 显示所有主题的页面 1 URL模式 #定义learning_logs的URL模式 from django.conf.urls import url from . import views app_name='learning_logs' urlpatterns=[ #主页 url(r…

本篇文章接前一篇,建议可以先看前篇文章,再看本文,会有更好的效果. 前一篇跳转链接:https://www.cnblogs.com/weskynet/p/15046999.html 正文: Autofac通过构造函数注入 如前一篇所示,获取实例都是通过构造函数进行.此处通过构造函数获取实例,还有一种通过构造函数传入IServiceProvider进行获取.该方法可以极大减少构造函数传入的实例过多所导致的构造函数参数臃肿.示例直接使用前篇项目做拓展,在控制器的测试api下面,直接使用.有关示例如下…