.JDBC基本概念: java database Connectivity java数据库连接,java语言操作数据库 本质: 官方定义的一套操作所有关系型数据库的规则,即接口. 各个数据库厂商实现这套接口,提供数据库驱动jar包. 我们是以这套接口编程,真正执行的代码是驱动jar包中的实现类 .快速入门: 步骤: .导入驱动jar包 .注册驱动 Class. .获取数据库连接对象 Connection .定义sql .获取执行sql语句的对象 Statement .执行sql,接收返回结果 .…

XSS的简单介绍 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户目的. XSS危害: 流量劫持 获取用户cookie信息,盗取账号 篡改.删除页面信息(钓鱼) 配合CSRF攻击,实施进一步攻击 XSS分类 反射型XSS:反射型XSS也被称…

工具简介 SQLMAP: 一个开放源码的渗透测试工具,它可以自动探测和利用SQL注入漏洞来接管数据库服务器.它配备了一个强大的探测引擎,为最终渗透测试人员提供很多强大的功能,可以拖库,可以访问底层的文件系统,还可以通过带外连接执行操作系统上的命令. 常见参数使用 --sql-shell 执行SQL命令 --OS-cmd 执行系统命令 --OS-shell 与系统Shell交互 -r 加载外部请求包 --data=DATA 通过POST发送数据字符串 --proxy=PROXY 使用HTTP代理链…

一.什么是SQL注入  SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL.而SQL注入是将Web页面的原URL.表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令.如Web应用程序的开发人员对用户所输入的数据或cookie等内容不进行过滤或验证(即存在注入点)就直接传输给数据库,就可能导致拼接的SQL被执行,获取对数据库的信息以及提权,发生SQL注入攻击.本笔记环境为MySQL数据库. 二.My…

属性注入即通过setter方法注入bean的属性或依赖对象. 属性注入使用<property>元素,使用name属性指定bean的属性的名称,value属性或<value>子节点指定属性值. 原理:通过java的反射机制,调用此属性的setter方法.所以改属性必须有setter方法才能使用. 构造器注入: 通过构造方法注入bean的属性值或依赖的对象,它保证了bean实例在实例化后就可以使用. 构造器注入在<constructor-arg>初始化属性值,name属性表…

SQL注入漏洞 SQL注入经常出现在登陆页面.和获取HTTP头(user-agent/client-ip等).订单处理等地方,因为这几个地方是业务相对复杂的,登陆页面的注入现在来说大多数是发生在HTTP头里面的client-ip和x-forward-for. 1.普通注入 普通注入是指最容易利用的SQL注入漏洞,比如直接通过注入union查询就可以查询数据库,一般的SQL注入工具也能够非常好地利用.普通注入有int型和string型 测试环境搭建: 数据库名为test  数据库表名userinf…

目录 基础 一些姿势 1.config 2.self 3.[].() 3.url_for, g, request, namespace, lipsum, range, session, dict, get_flashed_messages, cycler, joiner, config等 4.常用绕过 flask/jinja2 SSTI入门 SSTI注入绕过(沙盒逃逸原理一样) 探索Flask/Jinja2中的服务端模版注入(一) 探索Flask/Jinja2中的服务端模版注入(二) 从零学习f…

LDAP注入介绍 一. 前言 前些日子在看 OWASP TOP 10 时看到了对LDAP注入攻击的介绍,对此产生了兴趣,在网上经过一番搜索之后找到了构成本文主要来源的资料,整理出来分享给大家. 二. 介绍 1. LDAP协议 LDAP(Lightweight Directory Access Protocol):即轻量级目录访问协议.是一种运行于TCP/IP之上的在线目录访问协议,主要用于目录中资源的搜索和查询. 2. LDAP存储 LDAP的存储以信息目录的形式存在,在该目录中可只定义一次用户…

作为一个开发者,我们不希望技术很快的更新,这是因为我们还没有完全掌握原来技术的基础上,又要掌握新的技术,作为天天忙忙碌碌的程序员,我们不希望还要额外的时间来学习,尤其是当我们的年龄,逐渐的变大的时候,但是有时候跟上时代的步伐也会给我们带来很多的好处,我今天要说的主题就是让我们从MVC 2 升级到 MVC3 吧,因为他带给我们太多的是惊喜,而不是学习的苦恼. 可能有的园友要嗤之以鼻了,每个技术的更新都会带来新的学习点,我们总是要不断的学习来跟上他们,我们会很累的?的确,作为一名程序员,我们每天总是…

01.JDBC_Java程序和MySQL的关系:     1).Java程序跟其它MySQL客户端一样,就是一个"客户端",用于"封装SQL语句"并发送给MySQL服务器,        MySQL服务器会直接返回结果给我们的程序. (上面的命令行就是黑窗口,它与 SQLYog.JAVA程序一样,同级) 02.JDBC_驱动的概念:     由数据库厂商为每种编程语言提供的一个程序包.有两种语言组成:前端:所面向的编程语言:后端:数据库本身的语言.     它可以使…