guoyuxin3的博客

原创 第九章-命令执行

第一节 命令执行介绍1.1 命令执行漏洞原理命令执行漏洞定义：Web应用程序接收用户输入，拼接到要执行的系统命令中执行。产生原因：1、用户输入未过滤或净化；2、拼接到系统命令中执行。1.2 PHP下命令执行函数在PHP中具有执行系统命令功能的函数如下：1、system 2、exec 3、shell_exec 4、passthru 5、popen 6、proc_popen提示：某...

原创 第八章-XXE漏洞

第一节 XML快速入门1.1 XML介绍及用途XML 被设计用来传输和存储数据。XML 文档形成了一种树结构，它从"根部"开始，然后扩展到"枝叶"。XML 允许创作者定义自己的标签和自己的文档结构。<?xml version="1.0" encoding="UTF-8"?><note><to>Tove</to><from>J...

原创 第七章-SSRF服务端请求伪造

第一节 SSRF漏洞原理介绍1.1 SSRF漏洞定义SSRF(server-site request forery，服务端请求伪造)是一种构造请求，由服务端发起请求的安全漏洞。一般情况下，SSRF的目标就是与外部隔离的内网资源。1.2 SSRF漏洞原理SSRF形成原因：服务端提供了从其他服务器获取数据的功能，但没有对内网目标地址做过滤与限制。主要方式：1、对外网、服务器所在内网、...

原创 第六章-文件上传漏洞

第一节 文件上传_绕过JS验证1.1 JS验证代码分析1.2 Burpsuite剔除响应JS对于JS前端验证，直接删除掉JS代码之后就可以绕过JS验证。1.3 浏览器审计工具剔除JS利用浏览器的审查工具剔除JS之后，保存为新文件然后进行文件上传。1.4 上传Webshell，菜刀连接一句话木马：php <?php @eval($_POST[“cmd”]); ?>...

原创 第五章-CSRF漏洞

第五章-CSRF漏洞第一节 CSRF原理介绍1.1 CSRF漏洞定义​ CSRF(Cross-site request forery，跨站请求伪造)也被称为One Click Attack或者Session Riding，通常缩写为CSRF或者XSRF。XSS与CSRF区别：1、XSS利用站点内的信任用户，盗取Cookie；2、CSRF通过伪装成受信任用户请求受信任的网站。1.2 ...

原创 第四章-XSS漏洞

第四章-XSS漏洞第一节 XSS跨站脚本分类1.1 XSS漏洞介绍​ 跨站脚本攻击(Cross Site Scripting)，为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。...

原创 第三章-Sqlmap

第三章-Sqlmap第一节 sqlmap介绍1.1 sqlmap介绍​ sqlmap是一个开源的渗透测试工具，它可以自动化检测和利用SQL注入缺陷以及接管数据库服务器的过程。它有一个强大的检测引擎，许多适合于终极渗透测试的小众特性和广泛的开关，从数据库指纹、从数据库获取数据到访问底层文件系统和通过带外连接在操作系统上执行命令。官方网址：http://sqlmap.org/1.2 s...

原创 第二章-注入漏洞

第二章-注入漏洞第一节 SQL注入原理1.1 SQL注入的原因​ 语言分类：解释型语言和编译型语言。解释型语言是一种在运行时由一个运行时组件解释语言代码并执行其中包含的指令的语言。而编译型语言是代码在生成时转换为机器指令，然后在运行时直接由使用该语言的计算机执行这些指令。​ 在解释型语言中，如果程序与用户进行交互。用户就可以构造特殊的输入来拼接到程序中执行，从而使得程序依据用户输入执行有...

原创 第一章-信息收集

第一章-信息收集第一节 收集域名信息1.1 域名介绍​ 域名(Domain Name)，是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称，用于在数据传输时标识计算机的电子方位。例如：学院域名：51cto.com​ 对于edu.51cto.com 以及www.51cto.com是该域名对应的子域名，而edu和www都是对应的主机头。浏览网站过程：(从DNS服务...

原创 PHP语法基础

PHPPHP语法常量define()const魔术常量魔术常量可以理解为特殊的预定义常量。 其中魔术常量的书写格式通常是用两个下划线( __ )开头两个下划线结尾，比如： LINE 、 FILE 等等。__LINE__ __FILE__ __DIR__等变量变量赋值值赋值引用赋值<?php$str = "引用";$contene = ...

原创 软件测试基础

软件测试1.软件测试定义软件测试就是指，用人工或者自动化的手段来进行测试的过程，目的在于检验它是否满足规定的需求，并弄清楚预期结果与实际结果的差异。(目的：在最短时间内找出尽可能多的缺陷)2.软件测试的流程需求分析 编写测试计划 设计测试用例 执行测试用例 缺陷管理 测试报告冒烟测试：对软件基本功能进行测试，查看主要的这些功能是否有问题3.测试项目的具体工作搭建测试...

原创 壁纸

原创 FastDFS分布式文件系统

第1章 FastDFS入门1.1 分布式文件系统分布式文件系统 (Distributed File System) 是一个软件/软件服务器，这个软件可以用来管理文件。但这个软件所管理的文件通常不是在一个服务器节点上，而是在多个服务器节点上，这些服务器节点通过网络相连构成一个庞大的文件存储服务器集群，这些服务器都用于存储文件资源，通过分布式文件系统来管理这些服务器上的文件。常见的分布式文件系统有：FastDFS、GFS、HDFS、Lustre 、Ceph 、GridFS 、mogileFS、TFS等。

原创 Mybatis-Plus代码自动生成器

// 代码自动生成器public class EasyCode { public static void main(String[] args) {// 需要构建一个 代码自动生成器 对象AutoGenerator mpg = new AutoGenerator();// 配置策略// 1、全局配置GlobalConfig gc = ne...

原创 SQL注入

万能密码万能密码漏洞分析基本知识:mysql注释的几种方式1 单行注释可以用"#"2 单行注释的第二种写法用 "-- " 注意这个风格下"--【空格】" 也就是说“--" 与注释之间是有空格的3 多行注释可以用/**/举例xxx' or 1#user_name=xxx' or 1#&user_pass=123123123欢迎:111第一种形式'or'='or'直...

原创 nginx

nginx第一章 nginx简介1.1 nginx介绍Nginx (engine x) 是一个高性能的Web服务器和反向代理服务器，也可以作为邮件代理服务器。Nginx 特点是占有内存少，并发处理能力强，以高性能、低系统资源消耗而闻名，官方测试为万并发请求。1.2 正向代理和反向代理反向代理(Reverse Proxy)方式是指以代理服务器来接受internet上的连接请求，然后将请求...

原创 Redis

redis1.Redis简介：Remote Dictionary Server(远程字典服务器),是一个用C语言编写的、开源的、基于内存运行并支持持久化的、高性能的NoSQL数据库.也是当前热门的NoSQL数据库之一。2.Redis的特点1、支持数据持久化​ Redis支持数据的持久化，可以将内存中的数据保持在磁盘中，重启的时候可以再次加载进行使用。2、支持多种数据结构​ Redi...

原创 Maven管理多模块

Maven管理多模块​ Maven 管理多模块应用的实现是互联网项目中多使用分布式开发，那么每个独立的服务都会使用独立的项目进行维护，那么这样就需要使用多模块应用管理，来实现项目的高度统一。设置父工程的 pom 文件父工程的 packaging 标签的文本内容必须设置为 pom删除 src 目录父工程要求 src 目录必须删除掉创建子模块parent选择001...

原创 spring与mybatis集成

Spring 集成 MyBatis​ 将 MyBatis与 Spring 进行整合，主要解决的问题就是将 SqlSessionFactory 对象交由 Spring来管理。所以，该整合，只需要将 SqlSessionFactory 的对象生成器 SqlSessionFactoryBean 注册在 Spring 容器中，再将其注入给 Dao 的实现类即可完成整合。​ 实现 Spring 与 M...

原创 Mybatis

第1章 框架概述1.1 软件开发常用结构1.1.1 三层架构三层架构包含的三层：界面层(User Interface layer)、业务逻辑层(Business Logic Layer)、数据访问层(Data access layer)三层的职责界面层(表示层，视图层)：主要功能是接受用户的数据，显示请求的处理结果。使用 web 页面和用户交互，手机 app 也就是表示层的，用户...

原创 git常用命令

git1.git概述Git 是一个免费的、开源的分布式版本控制系统，可以快速高效地处理从小型到大型的各种项目。2.git工作机制3.git安装官网地址： https://git-scm.com/4. git常用命令git --version 查看 git 版本git config --global user.name 用户名 设置用户签名git config --global ...

原创 Maven

第1章 Maven 简介官网：http://maven.apache.org/1.1 软件是一个工程我们在日常生活常能听到工程这个词，像桥梁工程、道路工程、南水北调工程等等。工程说简单点就是各个行业的从业人员通过总结规律或者方法，以最短的时间和人力、物力来做出高效可靠的东西。我们也就能理解桥梁工程，其实就是人们通过经验的总结和各种研究得出来的、用来修建桥梁时所采用的高效的方法，当然这种方...

原创 Java Web 常用Maven 依赖

Java Web 常用Maven 依赖1. 基本pom.xml结构<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0....

原创 jdk动态代理的简单了解

动态代理(理解)： 基于反射机制。掌握的程度什么是动态代理 ？使用jdk的反射机制，创建对象的能力， 创建的是代理类的对象。 而不用你创建类文件。不用写java文件。动态：在程序执行时，调用jdk提供的方法才能创建代理类的对象。jdk动态代理，必须有接口，目标类必须实现接口， 没有接口时，需要使用cglib动态代理知道动态代理能做什么 ？可以在不改变原来目标方法功能的前提下...

原创 jQuery+ajax实现级联查询

<%@ page contentType="text/html;charset=UTF-8" language="java" %><html><head> <title>$Title$</title> <script type="text/javascript" src="js/jquery-3.4.1.js...

原创 jQuery

jQuery入门了解jQueryjQuery 是一款跨主流浏览器的 JavaScript 库，封装了 JavaScript 相关方法调用，简化 JavaScript 对 HTML DOM 操作1.为什么使用 jQuery非常重要的理由就是：它能够兼容市面上主流的浏览器， IE 和 FireFox，Google 浏览器处理 AJAX，创建异步对象是不同的，而 jQuery 能够使用一...

原创 Ajax

第一个课程ajax：1. 全局刷新和局部刷新全局刷新： 整个浏览器被新的数据覆盖。 在网络中传输大量的数据。 浏览器需要加载，渲染页面。局部刷新： 在浏览器器的内部，发起请求，获取数据，改变页面中的部分内容。其余的页面无需加载和渲染。 网络中数据传输量少， 给用户的感受好。ajax是用来做局部刷新的。局部刷新使用的核心对象是 异步对象(XMLHttpRequest)这个异步对象是存在...

原创 04_EL表达式

EL表达式一.EL表达式1.命令格式：${作用域对象别名.共享数据} 2.命令作用： 1)EL表达式是EL工具包提供一种特殊命令格式【表达式命令格式】 2)EL表达式在JSP文件上使用 3)负责在JSP文件上从作用域对象读取指定的共享数据并输出到响应体二.EL表达式——作用域对象别名1.JSP文件可以使用的作用域对象 1) Servl...

原创 03_JSP

第一章 JSP规范介绍来自于JAVAEE规范中一种JSP规范制定了如何开发JSP文件代替响应对象将处理结果写入到响应体的开发流程JSP规范制定了Http服务器应该如何调用管理JSP文件第二章响应对象存在弊端适合将数据量较少的处理结果写入到响应体如果处理结果数量过多，使用响应对象增加开发难度第三章JSP文件优势JSP文件在互联网通信过程，是响应对象替代品.降低将处理结果写入到响应...

原创 02_Servlet规范

Servlet规范目录在右下角互联网通信流程图一.Servlet规范介绍：servlet规范来自于JAVAEE规范中的一种作用：1)在Servlet规范中，指定【动态资源文件】开发步骤2)在Servlet规范中，指定Http服务器调用动态资源文件规则3)在Servlet规范中，指定Http服务器管理动态资源文件实例对象规则二.Servlet接口实现类：Servlet接口...

原创 01_Http网络协议包

Http网络协议包一.网络协议包：1.在网络中传递信息都是以【二进制】形式存在的. 2.接收方【浏览器/服务器】在接收信息后，要做第一件事 就是将【二进制数据】进行编译【文字，图片，视频，命令】 3.传递信息数据量往往比较巨大，导致接收方很难在一组连续 二进制得到对应数据 比如 浏览器发送一个请求： http://192.168.100.2:8080/index....

原创 MVC开发规则

MVC开发规则一.介绍：1.MVC开发规则制定了互联网通信开发过程中必须出现角色有哪些 2.MVC开发规则制定了互联网通信开发过程中必须出现角色担负职责 3.MVC开发规则制定了互联网通信开发过程中必须出现角色的出场顺序二. 角色DAO对象： DAO对象提供某张表文件的操作细节，降低对表文件操作难度. 避免反复开发表文件操作的代码提高代码复用性...

原创 蓝桥杯算法

1.位运算位运算符在处理整形数值时，可以直接对组成整形数值的各个位进行操作。这意味着可以使用屏蔽技术获得整数中的各个位(? ? )&(与)、| (或)、^(异或)、~ (非/取反)">>“和”<<"运算符将二进制位进行右移或者左移操作">>>"运算符将用0填充高位; >>运算符用符号位填充高位，没有<<&lt...

原创 Linux系统权限信息和管理

系统信息相关命令本节内容主要是为了方便通过远程终端维护服务器时，查看服务器上当前 系统日期和时间 ／ 磁盘空间占用情况 ／ 程序执行情况本小结学习的终端命令基本都是查询命令，通过这些命令对系统资源的使用情况有个了解目标时间和日期datecal磁盘和目录空间dfdu进程信息pstopkill01. 时间和日期序号命令作用0...

原创 Linux文件目录相关命令

文件和目录常用命令目标查看目录内容ls切换目录cd创建和删除操作touchrmmkdir拷贝和移动文件cpmv查看文件内容catmoregrep其他echo重定向 > 和 >>管道 |01. 查看目录内容1.1 终端实用技巧1> 自动补全在敲出 文件／目录／命令 的前几个字母之后，按...

原创 Linux文件目录结构

文件和目录目标理解 Linux 文件目录的结构01. 单用户操作系统和多用户操作系统(科普)单用户操作系统：指一台计算机在同一时间 只能由一个用户 使用，一个用户独自享用系统的全部硬件和软件资源Windows XP 之前的版本都是单用户操作系统多用户操作系统：指一台计算机在同一时间可以由 多个用户 使用，多个用户共同享用系统的全部硬件和软件资源Unix 和 Lin...

原创 Linux基础

操作系统的发展史(科普章节)目标了解操作系统的发展历史知道 Linux 内核及发行版的区别知道 Linux 的应用领域01. 操作系统的发展历史1.1 Unix1965 年之前的时候，电脑并不像现在一样普遍，它可不是一般人能碰的起的，除非是军事或者学院的研究机构，而且当时大型主机至多能提供30台终端(30个键盘、显示器)，连接一台电脑为了解决数量不够用的问题1965 年左...

原创 在虚拟机中安装 Ubuntu

在虚拟机中安装 Ubuntu步骤安装前的准备和基本安装设置语言环境安装常用软件1. 安装前的准备和基本安装1.1 安装前的准备访问 http://cn.ubuntu.com/download/ 下载 Ubuntu 16.04 版本在操作系统上安装 VMWare 虚拟机软件为什么要使用虚拟机？不需要准备 额外的电脑在虚拟机中可以 大胆尝试任何操作，不用担心造成不可...

原创 JavaScript基础复习

一.JavaScript一.介绍:1.JavaScript是一种专门在浏览器编译并执行的编程语言2.JavaScript处理用户与浏览器之间请求问题3.JavaScript采用【弱类型编程语言风格】对【面向对象思想】来进行实现的编程语言二.弱类型编程语言风格 VS 强类型编程语言风格1.强类型编程语言风格：认为对象行为应该受到其修饰类型严格约束.Java采用【强类型编程语言风格】对...

原创 vi

vi —— 终端中的编辑器目标vi 简介打开和新建文件三种工作模式常用命令分屏命令常用命令速查图01. vi 简介1.1 学习 vi 的目的在工作中，要对 服务器 上的文件进行 简单 的修改，可以使用 ssh 远程登录到服务器上，并且使用 vi 进行快速的编辑即可常见需要修改的文件包括：源程序配置文件，例如 ssh 的配置文件 ~/.ssh/config...