- 博客(27)
- 收藏
- 关注
RSS订阅原创 JavaSE入门 继承&多态
在子类构造方法中,并没有写任何关于基类构造的代码,但是在构造子类对象时,先执行基类的构造方法,然后执。对于已经投入使用的类,尽量不要进行修改。在继承体系中,子类将父类中的方法和字段继承下来了,那在子类中能否直接访问父类中继承下来的成员呢?总结:成员方法没有同名时,在子类方法中或者通过子类对象访问方法时,则优先访问自己的,自己没有时。通过子类对象访问父类与子类中不同名方法时,优先在子类中找,找到则访问,否则在父类中找,找到。如果访问的成员变量子类中无,则访问父类继承下来的,如果父类也没有定义,则编译报错。
2025-12-16 09:58:19
851
原创 JavaSE入门 抽象类&接口
compareTo 方法. 而compare是Comparable接口里面的一个方法,如果要去使用,要让Student类去实现接口,即implements Comparable<Student>,后面是关于泛型编程,了解一下即可,这样弄好了接口以后,再去实现接口的方法,即是 public int comparaTo(Object o)在面向对象的概念中,所有的对象都是通过类来描绘的,但是反过来,并不是所有的类都是用来描绘对象的,中,类和类之间是单继承的,一个类可以实现多个接口,接口与接口之间可以多继承。
2025-12-03 15:14:15
979
原创 JavaSE初步入门(三)程序控制&方法的使用
方法就是一个代码片段类似于C语言中的函数。方法存在的意义不要背重在体会):1.是能够模块化的组织代码当代码规模比较复杂的时候).2.做到代码被重复使用一份代码可以在多个位置使用3.让代码更好理解更简单4.直接调用现有方法开发不必重复造轮子。
2025-11-28 19:00:26
724
原创 Vulhub靶场复现系列之CVE-2023-37941
具有元数据数据库写入权限的已认证用户可以插入恶意的Pickle有效载荷,当应用程序反序列化这些数据时,会导致Superset服务器上的远程代码执行。该应用程序使用Python的。首先我们来到Vulhub靶场目录下面,切换到CVE-2023-37941下面,使用docker compose up -d启动。上面可以随便给名字,然后点击保存以后,点击三个点,点击share里面的copy...,这个地址需要存着等会会用。来到这里以后用上节的方式去绕过登录验证,这里就不讲了,具体是CVE-2023-27524。
2025-11-26 16:34:56
292
原创 Vulhub靶场复现之Superset
环境准备靶场环境ubuntu24python3.12具体流程如下,在ubuntu系统里面下好了vulhub靶场以后解压,然后是进入到vulhub文件夹里面,可以看到里面有很多相关漏洞的练习,今天我们练习的是superset,cd superset 可以进入在进入第一个文件夹里面,直接使用docker compose up -d 就会开始启动靶场,其中使用ss -lnt可以查看端口,其中再次使用docker compose stop 可以停止靶场。
2025-11-20 12:12:53
484
原创 JavaSE初步入门(二)运算符
上述 + 和 < 等就是运算符,即:对操作数进行操作时的符号,不同运算符操作的含义不同。 作为一门计算机语言,Java也提供了一套丰富的运算符来操纵变量。Java中运算符可分为以下:算术运算符(+ - * /)、关系运算符(< > ==)、逻辑运算符、位运算符、移位运算符以及条件运算符等。2. 算术运算符 1. 基本四则运算符:加减乘除模(+ - * / %) 注意: 都是二元运算符,使用时必须要有左右两个操作数 int / int 结果还是int类型,而且会向下取整 in
2025-11-15 17:04:07
517
原创 JavaSE初步入门(一)数据类型&运算符
在程序中,除了有始终不变的常量外,有些内容可能会经常改变,比如:人的年龄、身高、成绩分数、数学函数的。强制类型转换:当进行操作时,代码需要经过一定的格式处理,不能自动完成。特点:数据范围大的到数据范围小。不同类型的数据之间相互运算时,数据类型小的会被提升到数据类型大的。浮点数与整数在内存中的存储方式不同,不能单纯使用 的形式来计算。必会存在一定的精度误差,因此浮点数是个近似值,并不是精确值。使用方式二定义后,在使用前如果没有赋值,则编译期间会报错。推荐使用方式一定义,如果没有合适的初始值,可以设置为。
2025-11-10 16:24:12
900
原创 初识Java—语言发展历程
如上展示的就是最简单的一个Java程序,可能同学们看到后一头雾水,可以说,Java的main方法应该是当前主流编程语言中最“长”的。语言在设计初期,赶上了互联网发展的风口,当时就瞄准了互联网开发,凭借稳定的性能表现和较。跨平台部署的支持环境,并广泛应用于嵌入式系统、移动终端、企业服务器、大型机等各种场合。指令就是按照自己的指令集来组织的,但是在具体硬件环境中运行时,系统并不能识别,因为。中,数据类型具有固定的大小,这消除了代码移植时令人头疼的主要问题。验的程序员、 课程和第三方厂商的数量。
2025-11-06 09:18:29
1025
原创 DNSlog探测技术漏洞
1、域名和IP的关系一个ip对应多个域名2、DNS的作用在计算机的世界通信里面,两台计算机通信需要相互的逻辑地址,就是ip地址,他的组成是四个八位二进制组成,每一个范围就是十进制0-255,但是这个地址特别长,并且不好记,于是就诞生了dns域名系统,比如我们ping一下百度网址,下面出现ip地址,域名的出现是方便我们记忆,去浏览相关服务器,常见.com edu gov 等等。
2025-10-26 07:43:30
970
原创 PHP反序列化漏洞
上面就是定义一个类的格式,例如下面class定义类名,其中定义成员变量一定要加声明var也可以定义函数(方法),在当前类里面调用变量,需要加this,代表当前类,然后下面的需要将类实体化,才能调用里面的函数,另外也可以将没有初始值的sex进行赋值而关于public 以及protected private三个声明之间其中public代表公共的,protect代表包含 priva代表私有,被public修饰的成员变量可以在类的内部或者外部调用,而其他两个只能在类的内部调用。
2025-10-23 16:43:08
189
1
原创 web十大漏洞之逻辑漏洞
逻辑漏洞就是基于开发人员设计程序的时候,逻辑不严密,导致攻击者可以修改、绕过或者中断整个程序,让程序按照开发人员的预料之 外去执行。
2025-10-13 10:15:00
1546
原创 web十大漏洞之jwt渗透
从安全性的角度来看,至少存在两个潜在的问题。1、缺乏机密性-我们能够轻松解码有效载荷payload(和报头header)。2、用户插入另一个操作(例如删除)并绕过授权靶场:https://authlab.digi.ninja/Leaky_JWT打开上面靶场以后,就会出现下面的样子,把框里的内容直接解密就可以了,base64具体实现方式 1、算法为none 2、算法修改 3、签名失败问题 4、暴力破解 5、密钥泄露 6、令牌刷新。
2025-10-09 09:30:00
1214
原创 web十大漏洞之RCE漏洞
一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。而,如果,设计者在完成该功能时,没有做严格的安全控制,则可能会导致攻击者通过该接口提交“意想不到”的命令,从而让后台进行执行,从而控制整个后台服务器。因此,如果需要给前端用户提供操作类的API接口,一定需要对接口输入的内容进行严格的判断,比如实施严格的白名单策略会是一个比较好的方法。&| ||------------ %0a 回车符号 %0d 换行。
2025-10-01 12:27:58
588
原创 web十大漏洞之SSRF漏洞
定义:SSRF Server-Side Request Forgery 服务器端请求伪造:是一种由攻击者构造形成 由服务端发起请求的一个安全漏洞如何造成的SSRF漏洞呢,首先我们来了解下linux系统中一个命令curl,使用curl访问一些网址他是以纯文本返回的而在我们的php里面curl是这样的当然如果我们要使用php里面curl是需要安装一个扩展在php.ini配置文件里面有一个extension=php_curl.dll它的功能如下获取网页资源——爬虫。
2025-09-24 14:26:04
379
原创 web十大漏洞之XXE漏洞
这里是一个关于微信支付调用接口的漏洞,用户买东西的时候,商家会给出微信支付码,然后呢支付成功后,会把结果返回给商家,于是乎,在回调通知的时候,如果商家服务器没有做任何安全措施,有人就可以插入webXML实体,这样就会对商户平台造成安全威胁,还有一种就是,没有支付所需购买商品的钱。直接调用通知支付结构,伪造一个支付成功的通知。像上面,如果有一些防火墙禁止外部扫描的端口,但是并不代表本机操作,而XXE漏洞就是可以利用这个特性,可以绕过安全限制,同理用bp抓包,将3306设置为关键字,就可以扫描出所有监听端口。
2025-09-18 10:45:00
711
原创 web十大漏洞之文件包含漏洞
这里需讲到一个目录穿越的,我们在文件系统中,../表示返回上一级目录,在linux系统中也是一样的,根据我们对linux系统熟悉,只需要多加一、几个../就可以回到根目录,然后呢直接去找etc/passwd里面的隐私文件。下面这种就是,限制了action目录下面的.txt文件,但是前面我们依然可以使用目录穿越,去越过目录限制,但是后面的.txt文件我们使用上一章用到的%00,去截断后面的。/usr/local/app/php5/lib/php.ini //PHP相关设置。
2025-09-16 08:15:00
488
原创 web十大漏洞之文件上传漏洞
same_name接收到参数,不是数组,直接来到下面,取元素最后一个,就是png,随后进行文件拼接,两个拼接元素,第一个就是上面数组第一个元素,而第二个是上面下标减一的元素,其中我们没有对下标为一的元素进行赋值,所以为空,最后文件为1.php进行上传。他的意思是将body列表内容替换成black,在返回文件,其中1.php ,由于php在那个黑名单里面,就会将php替换成空,于是1.就上传不了,其他就没有限制,这里我们可以双写。后面将这个hack.png上传,但是也是和前面一样的,打开文件包含页?
2025-09-12 08:30:00
753
原创 web十大漏洞之CSRF
由于用户在访问B时携带了A的cookie,网站A不知情接收了恶意请求,执行了非法操。* 用户访问恶意网站B,该网站B的页面发起对网站A的请求。* 用户登录信任网站A,并在本地生成cookie。1、通过图片的img src属性,自动加载,发起。2、构建一个超链接,用户点击以后,发起GET请。2、用于日志记录、分析流量来源、页面访问统计。* 用户未登出网站A,cookie未失效。3、构建一个自动提交的表单(隐藏),用户访。窃取Token —— 反射型XSS漏洞。包括验证码、短信、密码、人脸等等。
2025-09-06 13:15:00
655
原创 web十大漏洞之sql注入(三)
Sqlmap是一个开源的渗透测试工具,可以用来自动化的检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。目前支持的数据库有MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access等大多数据库。
2025-08-22 08:30:00
1248
原创 web十大漏洞之sql注入(二)
header注入,该注入是指利用后端验证客户端信息(比如常用的cookie验证)或者通过header中获取客户端的一些信息(比如User-Agent用户代理等其他header字段信息),因为这些信息在某些地方是会和其他信息一起存储到数据库中,然后再在前台显示出来,又因为后台没有经过相对应的信息处理所以构成了sql注入。Web的页面的仅仅会返回True和False。那么布尔盲注就是进行SQL注入之后然后根据页面返回的True或者是False来得到数据库中的相关信息。1.布尔型盲注。
2025-08-19 10:45:00
761
原创 web十大漏洞之sql注入(一)
在上个文章我们了解了一些关于MySQL数据库相关知识,这为我们接下来的学习打下基础,我们以sqli-labs靶场为例。
2025-08-15 01:22:47
918
原创 web十大漏洞sql注入基础篇
数据库就是一个存储数据的仓库,数据以一定方式存储在一起,能与多个用户共享,具有尽可能小的冗余,与应用程序彼此独立。关系型数据库1,关系型数据库存储方式可以直观反应实体间的关系,和常见的表格相似2,关型数据库中表与表之间有很多复杂的关联关系3,常见关系型有mysql,orcale,postgresql,sqlsever等非关系型数据库随着技术方向不断扩展,大量的非关系型数据库如MongoDB ,Redis处于简化数据库结构,避免冗余,影响性能表的连接,摒弃复杂分布式目的设计。
2025-08-04 20:12:00
1021
1
原创 WEB十大漏洞之xss漏洞
1.我们在登录一个网站的时候,每次请求是独立的,需要我们鉴定身份和保持会话,输入密码和用户名以后,关闭这个窗口,第二次进入的时候,会不用输入密码和用户,这就是cookie,避免重复的登录引起繁琐操作。而存储型的危害就很大,一般想一些留言板地方有链接后台数据库,攻击者将脚本注入网页之中,每当其他人访问这个页面时,从数据库返回来的页面带有恶意代码,都会收到攻击。输入beef-xss就会启动,如果没有安装,会提示输入(N/y)输入y就会自动安装。1.我们在一些靶场中可以看到,他的防御方式可以通过替换大小写。
2025-07-14 22:45:45
755
原创 我的第一篇博客
今天是2025年的12日,很荣幸来到博客,希望以后能够在这里和大家认识,我自己现在是一名大一的计算机专业的一个学生,同时也是刚刚开始接触c语言的学习,我会在这里记录下每一天的学习记录,同时在这里提出自己的学习计划。1,每天进行c语言的学习,掌握新的能力。2,同时周末有空的时候,了解一些关于计算机网络知识,慢慢的向网络安全过渡。3,个人兴趣网络安全技术,在后面的时候希望自己可以参加一些技术比赛。4,让我们一起努力吧。
2025-01-12 22:12:07
212
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人