- 博客(64)
- 收藏
- 关注
RSS订阅原创 tomcat显示aq.executeQuery:Access denied for user 'root'@'localhost' (using password: YES)的解决办法
部署了webapp后,若访问页面后,在tomcat控制台出现aq.executeQuery:Access denied for user 'root'@'localhost' (using password: YES)的提示,排除账号密码没有错误,那可能就是权限问题,解决办法:找到运行在mysql下的my.ini(我的在C:\ProgramData\MySQL\MySQL Server 5.7):...
2019-12-24 13:07:43
1103
原创 Spring框架搭建(入门级别)
环境准备:Eclipse1、新建项目:File--New--Dynamic Web Project:新建的项目后为:2、导入jar包:下载spring的jar包以及common-log.jar包下载方法:spring的jar包:链接:https://pan.baidu.com/s/1AdKD980kSURJrc1mtjC4VA提取码:6r91common-log....
2019-12-12 09:51:08
275
原创 win10下java安装以及环境配置
我用的JDK1.13,下载地址:https://www.oracle.com/technetwork/java/javase/downloads/jdk13-downloads-5672538.html选择最下面的window x64进行下载,下载到本地后点击运行:之后傻瓜安装一直next就可以了,其实也不需要刻意把jdk换到其他盘,在c盘就可以:可以看到jd...
2019-11-14 11:15:32
537
原创 解决eclipse没有(添加)”Dynamic Web Project”选项的方法
1、为当前的eclipse安装Java EE开发插件。Help->Insatall New Software:在改页面输入http://download.eclipse.org/releases/kepler如下所示,然后一直next,等待安装完成后重启就OK了。重启后在File->New->Others:下搜素web就可以看到啦:...
2019-09-05 17:46:32
2916
3
转载 运维安全之Apache(CGI&SSI&.htaccess)安全隐患
Apache默认配置支持解析CGI (Common Gateway Interface) (仅cgi-bin目录),不解析SSI(Server Side Includes)和.htaccess。当配置不当时,可能导致系统命令执行。本文由腾讯安全应急响应中心的Mark4z5同学通过实验来探讨开启解析CGI/SSI/.htaccess的危害以及安全建议。一、安装实验环境二、解析...
2019-05-07 16:51:20
794
转载 Apache Windows下Apache安装步骤
1.apache官网下载Apache HTTP Server服务器 我相信有些朋友刚用apache服务器时,都希望从官网上下载,而面对着官网上众多的项目和镜像以及目录,也许有点茫然。下面是具体步骤: ①、打开apache官网http://httpd.apache.org/ (或百度"download apache")。 ②、点击Download,出现以下界面 。...
2019-05-07 12:25:56
566
转载 json.stringify()和json.parse()
json.stringfy()将对象、数组转换成字符串;json.parse()将字符串转成json对象。json.stringfy():语法: JSON.stringify(value [, replacer] [, space]) value:是必选字段。就是你输入的对象,比如数组,类等。 replacer:这个是可选的。它又分为2种方式,一种是数组,第二种是方法。 情况一:repla...
2018-07-09 16:38:54
7071
1
转载 [转]浅谈@RequestMapping @ResponseBody 和 @RequestBody 注解的用法与区别
1.@RequestMapping国际惯例先介绍什么是@RequestMapping,@RequestMapping 是一个用来处理请求地址映射的注解,可用于类或方法上。用于类上,表示类中的所有响应请求的方法都是以该地址作为父路径;用于方法上,表示在类的父路径下追加方法上注解中的地址将会访问到该方法,此处需注意@RequestMapping用在类上可以没用,但是用在方法上必须有。例如:@Contr...
2018-07-09 16:37:38
180
转载 Insecure Randomness引发对随机数生成器抵挡加密攻击的方法
一、由nextInt()实施的随机数生成器不能抵挡加密攻击1、不安全的随机数:电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。2、PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料,但其输出结果很容易预测,因此数据流容易复制。若安全性取决于生成数值的不可预测性...
2018-04-16 11:51:09
6946
转载 Fortofy扫描漏洞解决方案
Fortofy扫描漏洞解决方案:Log Forging漏洞:数据从一个不可信赖的数据源进入应用程序。 在这种情况下,数据经由CreditCompanyController.java 的第 53行进入 getParameter()。 2. 数据写入到应用程序或系统日志文件中。 这种情况下,数据通过CreditCompanyController.java 文件第86 行的 info() 记录下来。为了...
2018-04-12 16:30:39
12264
1
原创 等级保护三级一篇写的比较好的应用系统安全测评方法
参考:https://wenku.baidu.com/view/e3b97357c1c708a1294a445a.html
2017-06-23 17:32:21
6296
转载 信息安全从业参考
信息安全从业的几个分类:[漏洞挖掘/安全技术研究员]研究对象:OS,网络,应用,通讯媒介及协议的安全漏洞和防御方法,偏重于底层技术,对技术要求最高,但不要求很全面,只需精通一两种流行的平台即可。其研究成果经常为IDS/IPS/Vulnerability Scanner插件作分析等,最新的技术可能被转化到产品中实现商业价值,或可能承担技术最高的一部分专业安全服务。主要技能:C\C
2017-04-17 17:49:13
1165
原创 Centos安装jre-8u121-linux-x64.tar.gz
1:在java官网下载,本文我下载的是jre-8u121-linux-x64.tar.gz(在Home文件下);2:通过xftp将其传输至usr/java文件下。(注意最好使用root权限进行以下所有操作)mv /home/jre-8u121-linux-x64.tar.gz /usr/java解压该tar.gz文件cd /usr/javalstar -z
2017-02-13 14:57:39
5759
转载 移动APP安全测试要点
移动APP安全测试要点 上次《运营商渗透测试与挑战》中提到,随着运营商新技术新业务的发展,运营商集团层面对安全的要求有所变化,渗透测试工作将会面临内容安全、计费安全、客户信息安全、业务逻辑及APP等方面的挑战。随着运营商自主开发的移动APP越来越多,这些APP可能并不会通过应用市场审核及发布,其中的安全性将面临越来越多的挑战,这一点在《XcodeGhost危害国内苹果应用市场》一文
2017-02-09 17:08:23
2918
转载 运营商渗透测试与挑战
最近几年,运营商行业安全服务中渗透测试中常见的漏洞包括弱口令、注入漏洞、跨站漏洞、Struts2命令执行漏洞、WebServer远程部署及上传漏洞等,但随着新技术、新业务出现和运营商集团层面的关注重点有所转移,渗透测试工作将会面临内容安全、计费安全、客户信息安全、业务逻辑及APP等方面的挑战,这就需要服务团队与时俱进,满足客户的服务要求。文章对这些方面进行了分析与总结,希望对安全服务人员的渗透测试
2017-02-09 16:44:42
556
转载 详解云安全“红宝书”——“云安全等保合规”
《信息安全技术 信息系统安全等级保护 第二分册 云计算安全技术要求》(下文简称“云安全等保合规”)是由公安部发布的国家级安全标准文件,此标准是在国内参照执行度最高的安全标准。“云计算安全技术要求”分册针对云计算信息系统的特点,提出了云计算信息系统安全等级保护的安全要求(其范围暂不包括云存储、云桌面和大数据服务),其中包括技术要求和管理要求,适用于指导分等级的云计算信息系统的安全建设和监督管理。
2017-01-05 19:29:44
4887
转载 CSRF的详细介绍与token的分析
CSRF的攻击与防御CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。1、CSRF漏洞简介CSRF(Cross-Site Request Forgery,跨站点伪造请求)是一种
2016-11-23 10:18:33
10447
转载 Burp Suite抓HTTPS数据包
Burp Suite抓HTTPS数据包(通用)测试环境[+] JDK1.8.0_40[+] Burp Suite 1.6.17下载地址:[+] JDK[+] Burp Suite 1.6.17一、burp介绍请自行参阅https://portswigger.net/burp/这里不过多介绍二、burp拦截HTTPS包的使用方法【以IE为例】1、配置浏
2016-11-14 11:14:24
1710
转载 DIV+CSS中标签dl dt dd常用的用法
http://smallpig301.blog.163.com/blog/static/9986093201010262499229/
2016-11-10 16:26:01
526
转载 使用 Spring Security 保护 Web 应用的安全
安全一直是 Web 应用开发中非常重要的一个方面。从安全的角度来说,需要考虑用户认证和授权两个方面。为 Web 应用增加安全方面的能力并非一件简单的事情,需要考虑不同的认证和授权机制。Spring Security 为使用 Spring 框架的 Web 应用提供了良好的支持。本文将详细介绍如何使用 Spring Security 框架为 Web 应用提供安全支持。在 Web 应用开发中,安
2016-11-08 15:30:39
1100
原创 服务器部署javaweb开发项目
1. 我的环境所需的软件:(当然还包括你的war文件包以及sql文件)mysql我这里找的是免安装版本,原因在于我的服务器是不能连外网的,因此无法下载.msi安装包,如果你可以联网,就可以直接下载.msi包,相关的环境都可以下载好。(这里就是因为我的mysql是免安装版本,所以后面的问题和解决方法都是针对该版本的,如果不是,请绕行。当然,下面都是我在开发环境一切都是OK的,本以为没有什
2016-08-08 16:30:01
360
原创 session验证并跳转至登录页面的总结
在javaweb项目中,为了更好的保证jsp页面能够在用户登录的情况下才能访问,而用户在未登录的情况下即使知道了某些特定页面的url也无法查看,实现用户授权访问,而防止非授权用户访问的情形,这里将自己在实现过程中查找的资料以及自己的实现过程记录在此。基于安全考虑,通过session验证来空值页面的访问权限是比较方便且简单的方式。下面是建立了一个登陆检验session的一个loginChec
2016-07-20 14:22:40
24409
转载 常用加密算法的Java实现(一)
常用加密算法的Java实现(一)http://www.blogjava.net/amigoxie/archive/2014/06/01/414299.html觉得写得不错,转载过来
2016-07-19 16:49:46
368
原创 js的正则表达式过滤非法字符
在录入数据时,因要对一些记录提示必须输入,通过alert提示其必须输入的记录,但这样会出现对非法字符过滤不严,导致XSS。如该记录“”名称“必须填写,否则无法提交,那么我在js中通过以下函数实现其必须填写该名称,为了过滤一些非法字符,可以通过js的正则表达式来实现,如下所示:当输入的内容包含有正则表达式的内容时,就会提示含有非法字符。if(informationForm.name.va
2016-07-19 16:40:29
15826
原创 antisamy的配置以及使用实现XSS防御
一、antisamy介绍:二、所需的相关文件:三、antisamy在eclipse的配置 maven的使用:整体截图:pom.xml代码: 4.0.0 webTest webTest 0.0.1-SNAPSHOT war src src
2016-07-07 09:18:19
9871
原创 实现管理系统过程中遇到的问题
错误1.org.hibernate.MappingException: Could not determine type for: String, at table: information, for columns: [org.hibernate.mapping.Column(delaycause)]解决方法:配置文件Information.hbm.xml中的字段delaycause
2016-07-07 09:15:39
2227
原创 Mysql数据库各查询整理
因工作中要做一个信息管理系统,在这期间,用到了很多的mysql数据库查询语句,好记性不如烂笔头,为了方便查找,整理在此,也不用我每次都百度一遍了,所有的语句都经过我亲自验证,哈哈查找一周内的数据:select * from test【表名】 where DATE_SUB(CURDATE(),INTERVAL 7 DAY)
2016-07-07 09:02:36
336
原创 mysql ”Invalid use of null value“ 解决方法
1.问题描述mysql 给表已存的’编号‘列设置为not null,保存时报错Invalid use of NULL value。2.错误原因因为已存在的数据的‘编号’列为null,与not null的设置冲突。3.解决办法1)添加新列,设置列的结构属性。2)将出错的列内容复制到新列中3)修改新列名为出错的列名alter table
2016-07-06 15:26:42
49976
4
原创 java date实现加一天代码,其他天数的一次类推
import java.text.Format;import java.text.SimpleDateFormat;import java.util.Calendar;import java.util.Date; public class $ { public static void main(String[] args) { Format f = new S
2016-07-06 15:08:44
72325
2
原创 jsp中插入时间控件
因工作需要,要实现数据库筛选功能,对于时间的筛选通过控件进行加载,具体方法如下:1.下载My97DatePicker项目包下载地址为:http://www.my97.net/dp/down.asp2.强该项目包解压后加载到WebRoot的Js文件夹下,加载方法:Js->Import->File System,找到你解压文件的位置,加载即可。3.在头文件中用js方式导入Wdate
2016-06-17 10:29:14
17903
2
转载 腾讯视频怎么转成MP4格式
我们首先将我们要下载的视频在线完全播放一遍,完成他的缓存。不得不说,前后的广告太讨厌了,不过我们转换后,这些广告就全没有了。2之后我们在软件的右上角点那向下的箭头,点“设置”。3弹出“设置”的对话框,我们找到那缓存的目录地址。我们将其复制下来。4打开我的电脑,将其复制到地址栏上,回车。
2016-06-14 11:23:42
9982
转载 Tomcat7.0安装配置
很久没有通过博客对学习所得进行记录了。 现在将使用Tomcat的一些经验和心得写到这里,作为记录和备忘。如果有朋友看到,也请不吝赐教。 首先,我个人使用的是apache-tomcat-7.0.27你可以下载使用,前提条件你需要安装JDK1.6或者1.7都可以,本人使用的jdk1.6,最好你还是使用jdk1.7,其他都一样。 1、首先是Tomcat的获取和安装。 获
2016-05-31 13:58:57
404
转载 渗透测试工具实战技巧合集
最好的 NMAP 扫描策略# 适用所有大小网络最好的 nmap 扫描策略# 主机发现,生成存活主机列表$ nmap -sn -T4 -oG Discovery.gnmap 192.168.56.0/24$ grep "Status: Up" Discovery.gnmap | cut -f 2 -d ' ' > LiveHosts.txt# 端口发现,发现大部分常用端口# htt
2016-05-30 10:45:16
4105
原创 ESAPI入门使用方法
一、介绍ESAPI二、所需要的软件我下载后的文件放置在 【E:\软件源文件 】中三、使用方法 1.将下载好的文件解压。解压的文件依旧在【E:\软件源文件】 2.将文件下列文件加入到 1)E:\软件源文件\esapi-2.1.0-dist \ esapi-2.1.0.jar
2016-05-19 12:12:12
39493
14
转载 sqlmap注入之tamper绕过WAF防火墙过滤
每当注入的时候看到这个贱贱的提示框,内心有千万只草泥马在奔腾。 但很多时候还是得静下来分析过滤系统到底过滤了哪些参数,该如何绕过。sqlmap中的tamper给我们带来了很多防过滤的脚本,非常实用,可能有的朋友还不知道怎样才能最有效的利用tamper脚本。当然使用脚本之前需要确定的就是系统过滤了哪些关键字,比如单引号、空格、select、union、admin等等。所以
2016-05-19 11:34:36
13204
2
转载 内网渗透中转发工具总结
最近一段时间内网渗透做的比较多,刚好今天比较有时间,就总结一下内网中转发的一些工具的使用。这里主要介绍了lcx、nc 、sSocket、tunna、reGeorg几款平时用的比较多的工具,网络上也有很多关于他们的介绍,而且也非常不错,但是并没有统一起来,写这篇文章就算是一个小小的汇总吧。0x00 LCX转发内网机器上执行:lcx.exe –slave 公网IP +端口 内网IP +端口
2016-05-03 15:34:56
2122
转载 代码审计:审计思路之实例解说全文通读
在我的新书《代码审计:企业级web代码安全架构》发布之际,借用这篇文章跟大家分享下代码审计的一些思路,目前该书已经可以在淘宝和京东等网站购买。 本文章首发在freebuf。 根据敏感关键字来回溯传入的参数,是一种逆向追踪的思路,我们也提到了这种方式的优缺点,实际上在需要快速寻找漏洞的情况下用回溯参数的方式是非常有效的,但这种方式并不适合运用在企业中做安全运营时的场景,在企业中做自
2016-05-03 14:58:58
4056
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人