在真正的rest api服务还没有写好之前,为了方便前端测试调用,后端可以写个服务,伪造rest服务(写假数据) 1.官网: http://wiremock.org/ 下载可执行jar:http://wiremock.org/docs/running-standalone/ 2.java -jar启动服务 3.springboot的pom文件引入依赖 <!-- WireMock --> <dependency> <groupId>com.github.tomakehur…

⒈下载WireMock独立运行程序 http://wiremock.org/docs/running-standalone/ ⒉运行 java -jar wiremock-standalone-2.22.0.jar --port 7777 ⒊项目中导入WireMock依赖 <dependency> <groupId>com.github.tomakehurst</groupId> <artifactId>wiremock</artifactId>…

官网地址:http://wiremock.org/ Jar下载:http://repo1.maven.org/maven2/com/github/tomakehurst/wiremock/1.57/wiremock-1.57-standalone.jar 下载wiremock jar工具 jar下载完毕后,启动jar, java -jar wiremock-1.57-standalone.jar –port 9999 --verbose 配合springboot项目,能够随时更新mockserv…

一.使用swagger2生成接口文档 依赖 <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger2</artifactId> <version>2.7.0</version> </dependency> <!-- swagger的bootstrap的美化界面 --> <dependency>…

使用多线程提高REST服务性能 异步处理REST服务,提高服务器吞吐量 使用Runnable异步处理Rest服务 AsyncController.java @RestController @GetMapping("/async") public class AsyncController { private Logger logger = LoggerFactory.getLogger(getClass()); @RequestMapping("/order") p…

一.服务端请求伪造漏洞 服务端请求伪造(Server-Side Request Forgery),是指Web服务提供从用户指定的URL读取数据并展示功能又未对用户输入的URL进行过滤,导致攻击者可借助服务端实现访问其本无权访问的URL. 攻击者无权访问的URL主要是内网,而对于不是Web服务的其他端口反回的一般是端口对应的服务的banner信息,所以SSRF的一大利用是探测内网端口开放信息.(所以SSRF归类为信息泄漏类型) Weblogic服务端请求伪造漏洞出现在uddi组件(所以安装Webl…

伪造服务钓鱼工具Ghost Phisher   Ghost Phisher是一款支持有线网络和无线网络的安全审计工具.它通过伪造服务的方式,来收集网络中的有用信息.它不仅可以伪造AP,还可以伪造DNS服务.DHCP服务.HTTP服务.同时,它还可以构建陷阱,进行会话劫持.ARP攻击,最后还可以收集各种授权信息.该工具使用Python编写,并提供界面操作,所以使用非常方便.…

简介 使用场景 主要用于在微服务架构下做CDC(消费者驱动契约)测试.下图展示了多个微服务的调用,如果我们更改了一个模块要如何进行测试呢? 传统的两种测试思路 模拟生产环境部署所有的微服务,然后进行测试 优点 测试结果可信度高 缺点 测试成本太大,装一整套环境耗时,耗力,耗机器 Mock其他微服务做端到端的测试 优点 不用装整套产品了,测的也方便快捷 缺点 需要写很多服务的Mock,要维护一大堆不同版本用途的simulate(模拟器),同样耗时耗力 Spring Cloud Contrct解决思…

1. Restful API和传统API的区别 用URL描述资源 用http描述方法行为,用http状态码描述结果 使用json交互数据 RESTful是一种风格,不是强制的标准 2. 使用spring mvc开发Restful API 2.1 请求参数校验 1)实体类 import com.fasterxml.jackson.annotation.JsonView; import org.hibernate.validator.constraints.NotBlank; import org.…

返回<.Net中的AOP>系列学习总目录 本篇目录 使用NUnit编写测试 编写和运行NUnit测试 切面的测试策略 Castle DynamicProxy测试 测试一个拦截器 注入依赖 PostSharp测试 对PostSharp切面进行单元测试 注入依赖 PostSharp和测试的问题 小结 本节的源码本人已托管于Coding上:点击查看. 本系列的实验环境:VS 2013 Update 5(建议最好使用集成了Nuget的VS版本,VS Express版也够用). 这节我们说说AOP中的单…

.Net中的AOP系列之<单元测试切面>   返回<.Net中的AOP>系列学习总目录 本篇目录 使用NUnit编写测试 编写和运行NUnit测试 切面的测试策略 Castle DynamicProxy测试 测试一个拦截器 注入依赖 PostSharp测试 对PostSharp切面进行单元测试 注入依赖 PostSharp和测试的问题 小结 本节的源码本人已托管于Coding上:点击查看. 本系列的实验环境:VS 2013 Update 5(建议最好使用集成了Nuget的VS版本,…

本文转载自 https://imququ.com/post/web-proxy.html HTTP 代理原理及实现(一) 文章目录 普通代理 隧道代理 Web 代理是一种存在于网络中间的实体,提供各式各样的功能.现代网络系统中,Web 代理无处不在.我之前有关 HTTP 的博文中,多次提到了代理对 HTTP 请求及响应的影响.今天这篇文章,我打算谈谈 HTTP 代理本身的一些原理,以及如何用 Node.js 快速实现代理. HTTP 代理存在两种形式,分别简单介绍如下: 第一种是 RFC 723…

先做个名词解释: XSS:跨站脚本(Cross-site scripting) CSRF:跨站请求伪造(Cross-site request forgery) 看了估计也不清楚什么意思吧? 那么,详细解释下: XSS: 其实就是Html的注入问题,攻击者的输入没有经过严格的控制进入了数据库,最终显示给来访的用户,导致可以在来访用户的浏览器里以浏览用户的身份执行Html代码. 一个例子:某文章的评论区,某个攻击者输入一段js代码作为评论:windows.alert("我是攻击者"); ,…

学习本章之前,可以先了解下上篇Spring Security认证配置(二) 本篇想要达到这样几个目的: 1.登录成功处理 2.登录失败处理 3.调用方自定义登录后处理类型 具体配置代码如下: spring-security-browser 登录成功处理: /** * 自定义登录成功后处理 */ @Slf4j @Component public class LoginSuccessHandler implements AuthenticationSuccessHandler { @Autowire…

DDOS工具合集 from:https://blog.csdn.net/chinafe/article/details/74928587 CC 著名的DDOS CC工具,效果非常好!CC 2.0使用了和CC 1.0一样的原理但是不同的编程技术CC 2.0的理论连接比CC 1.0 有了几十倍的提高但是在同样连接数的效率上有所降低CC 2.0支持比1.0更多的随机参数+{S|s|N|n|P|p|C|c}{1~9}S:大写英文s:小写英文P|p:密码模式,就是英文数字都有的N|n:数字C|c:中文还增…

WEB 滴~ http://117.51.150.246/index.php?jpg=TmpZMlF6WXhOamN5UlRaQk56QTJOdz09 观察链接可发现jpg的值是文件名转hex再base64编码两次得到,由此得到任意文件读取漏洞 读取index.php http://117.51.150.246/index.php?jpg=TmprMlpUWTBOalUzT0RKbE56QTJPRGN3 将源码中的base解码得到源码 备注是提示,访问该博客该日期的文章,得到提示 .practi…

什么是跨域? 跨域,指的是浏览器不能执行其他网站的脚本.它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制. 什么是同源策略? 同源策略又分为以下两种 DOM同源策略:禁止对不同源页面DOM进行操作.这里主要场景是iframe跨域的情况,不同域名的iframe是限制互相访问的. XmlHttpRequest同源策略:禁止使用XHR对象向不同源的服务器地址发起HTTP请求. 只要协议.域名.端口有任何一个不同,都被当作是不同的域,之间的请求就是跨域操作 所谓同源是指,域名,…

整理下sql相关知识,查漏补缺(长期更新) 1 常用语句及知识 information_schema包含了大量有用的信息,例如下图 mysql.user下有所有的用户信息,其中authentication_string为用户密码的hash,如果可以使用可以修改这个值,那么就可以修改任意用户的密码 常用语句 当前用户:select user() 数据库版本:select version() , select @@version 数据库名:select database() 操作系统:select…

环境搭建 怎么设置Mysql支持外联? use mysql; grant all privileges on *.* to root@'%' identified by '密码'; //授权语句 flush privileges; //刷新配置 MAC上设置Mysql环境允许外联 use mysql; ALTER USER 'root'@'%' IDENTIFIED WITH mysql_native_password BY '123456'; //这一步是因为有的Mysql客户端是没有mysq…

Kerberos协议工作原理分析 这里面借用一下师傅们的图来说明一下    Kerberos协议的流程大致如下(假设A要获取对Server B的访问权限) 第一步(KRB_AS_REQ) 这一步客户端A向AS发送认证请求,发送经自身密码hash(域用户密码)加密的时间戳(域认证很多都用到时间戳,一是避免了时间过长而造成的暴力攻击,并且正好将时间戳作为认证点) 第二步(KRB_AS_REP) AS收到了客户端发送的认证请求,于是从本地数据库中拿到客户端A的密码哈希解密出时间戳,若时间戳认证成功后…

SUCTF 2019 Upload labs 2 踩坑记录 题目地址 : https://github.com/team-su/SUCTF-2019/tree/master/Web/Upload Labs 2 最近恶补了一下 SoapClient 反序列化和 MySQL 客户端任意文件读取的知识,这个题目很好的说明了这两个知识点 有一个问题,GitHub 上的代码有点错误,admin.php 中第 63 行 $arg2 = $_POST['arg3']; 要改成 $arg3 = $_POST['…

Istio 安全(概念) 目录 Istio 安全(概念) 高层架构 Istio身份 身份和证书管理 认证 Mutial TLS认证 宽容(Permissive)模式 安全命名 认证架构 认证策略 策略存储 Selector字段 对等认证 请求认证 主体(Principals) 升级认证策略 授权 授权架构 隐式启用 授权策略 策略目标 值匹配 排除匹配 允许所有以及默认拒绝所有认证策略 自定义条件 认证和未认证的身份 使用istio授权普通TCP协议 mutual TLS的依赖 通过将一个单一应…

出品|MS08067实验室(www.ms08067.com) 本文作者:大方子(Ms08067实验室核心成员) 总结与反思: 1.收集信息要全面 2.用snmp-check检查snmp目标是否开启服务 3.smbmap尝试匿名用户anonymous来枚举目标的共享资源,可能会枚举成功 4.使用smbclient连接到smb进行命令操作 5.使用ole来分析宏 6.使用mssqlclient.py来连接MSSQL 7.mssqlclient.py开启Windows Authentication参数…

0x00 本地认证 本地认证基础知识 在本地登录Windows的情况下,操作系统会使用用户输入的密码作为凭证去与系统中的密码进行验证,但是操作系统中的密码存储在哪里呢? %SystemRoot%\system32\config\sam 当我们登录系统的时候,系统会自动地读取SAM文件中的"密码"与我们输入的"密码"进行比对,如果相同,证明认证成功 这个SAM文件中保留了计算机本地所有用户的凭证信息,可以理解为是一个数据库. 上面认证的过程只是粗略的说法,整个认证过程…

前言:全国HW刚结束,加强一波内网概念,去年11月红队成绩并不理想,这次必拿下好成绩.冲!!! 0x00 本地认证 本地认证基础知识 在本地登录Windows的情况下,操作系统会使用用户输入的密码作为凭证去与系统中的密码进行验证,但是操作系统中的密码存储在哪里呢? %SystemRoot%\system32\config\sam 当我们登录系统的时候,系统会自动地读取SAM文件中的"密码"与我们输入的"密码"进行比对,如果相同,证明认证成功! 这个SAM文件中保留了…

目录 黄金票据 生成票据并导入 查看票据 验证是否成功 黄金票据和白银票据的不同 票据传递攻击(PtT)是一种使用Kerberos票据代替明文密码或NTLM哈希的方法.PtT最常见的用途可能是使用黄金票据和白银票据,通过PtT访问主机相当简单. 关于Kerberos认证:Kerberos认证方式 现在我们有下面这种情况,域成员A获得了域中的 krbtgt 用户的 sid 值和哈希值,现在域成员A想利用票据传递攻击,访问域控服务器. 黄金票据 在认证过程中,客户端与KAS的通信会得到TGT认购权证…

如果一台主机处于NAT后面,那么在一定条件下两台主机无法之间进行通讯.在这种条件下,那么使用中继服务提供通讯是有必要的. 这个规范定义了一个名为TURN(使用中继穿越NAT)的协议,它允许一台主机使用中继服务与对端进行报文传输.TURN不同于其它中继协议在于它 允许客户机使用一个中继地址与多个对端同时进行通讯. TURN协议也是ICE(交互式连接建立)协议的组成部分,也可以单独使用. 1.简介 一个处于NAT内的主机想要与其他主机进行通讯,其他主机有可能也处于NAT内.为了实现这个目的, 主机利…

摘要:本文将从设计者的视角介绍如何一步步设计出一个简易版的 SSL/TLS 的过程,在文章的最后,再简单介绍 TLS 1.2 版本的工作机制,以此帮助大家对 SSL/TLS 协议的基本原理有一个更深入的理解. 本文分享自华为云社区<假如让你来设计SSLTLS协议>,作者:元闰子. 前言 说起网络通信协议,相信大家对 TCP 和 HTTP 都很熟悉,它们可以说是当今互联网通信的基石.但是,在网络安全方面,它们却是有着很大安全风险: 窃听风险.第三方攻击者可以随意窃听通信内容,比如获取支付账号密码…

玩转单元测试之WireMock -- Web服务模拟器 WireMock 是一个灵活的库用于 Web 服务测试,和其他测试工具不同的是,WireMock 创建一个实际的 HTTP服务器来运行你的 Web 服务以方便测试. 它支持 HTTP 响应存根.请求验证.代理/拦截.记录和回放, 并且可以在单元测试下使用或者部署到测试环境. 它可以用在哪些场景下: 测试移动应用依赖于第三方REST APIs 创建快速原型的APIs 注入否则难于模拟第三方服务中的错误 任何单元测试的代码依赖于web服务的 目…

服务端请求伪造 如你所愿,这次可以读取所有的图片,但是域名必须是www开头 测试方法 POST /index.php HTTP/1.1 Host: 218.2.197.236:27375 Content-Length: 40 Cache-Control: max-age=0 Origin: http://218.2.197.236:27375 Upgrade-Insecure-Requests: 1 Content-Type: application/x-www-form-urlencoded…