qq_41042211的博客

XML以及XXE漏洞介绍XML是指可扩展标记语言，用来传输和存储数据。XML文档结构包括XML声明，DTD文档类型定义（可选），文档元素。XML的焦点是数据的内容，它把数据从HTML分离，是独立于软件和硬件的信息传输工具。HTML旨在显示信息，XML旨在传输和存储信息。XXE漏洞全称XML External Entity Injection，即XML外部实体注入漏洞。XXE漏洞发生在应用程序解析XML时，没有禁止外部实体的加载，导致客家在恶意外部文件，造成文件读取，命令执行，内网端口扫描，攻击内网网

Java的序列化与反序列化反序列化概念：序列化是将java对象转化为字节序列的过程，以便将数据保存在内存，文件或数据库中；反之，反序列化就是将字节序列转化为java对象的过程。序列化条件：只有实现Serializable和Externalizable接口的类的对象才能被序列化。反序列化场景：反序列化操作一般发生在模板文件，网络通信，数据传输，日志格式化或db存储等业务场景中。在代码审计时可关注一下反序列操作函数并判断操作是否可控。例如：ObjectInputStream.readObjectObj

记录一下容易错的题目。部分答案可以参考：https://sythonic.github.io/2016/OWASP-Security-Shepherd/https://woj.app/2354.htmlhttps://susiecybersecurity.wordpress.com/category/09_owasp-security-shepherd/Cross Site Scripting Challenge One<img οnerrοr=alert(`lalala`)；>

官方解释OWASP Top 10 2017安全配置错误可以发生在一个应用程序堆栈的任何层面，包括网络服务、平台、Web服务器、应用服务器、数据库、框架、自定义代码和预安装的虚拟机、容器和存储。自动扫描器可用于检测错误的安全配置、默认帐户的使用或配置、不必要的服务、遗留选项等。应用程序可能受到攻击的几种情况：应用程序栈堆的任何部分都缺少适当的安全加固，或者云服务的权限配置错误。应用程序启用或安装了不必要的功能（例如：不必要的端口、服务、网页、帐户或权限）。默认帐户的密码仍然可用且没有更改。错误

官方解释OWASP Top 10 2017如果应用程序存在如下问题，那么可能存在身份验证的脆弱性：允许凭证填充，这使得攻击者获得有效用户名和密码的列表。允许暴力破解或其他自动攻击。允许默认的、弱的或众所周知的密码，例如“Password1”或“admin/admin”。使用弱的或失效的验证凭证，忘记密码程序，例如“基于知识的答案”，这是不安全的。使用明文、加密或弱散列密码（参见：A3:2017-敏感数据泄露）。缺少或失效的多因素身份验证。暴露URL中的会话ID（例如URL重写）。在成功

什么是CSRFCSRF发生的原理怎么发现CSRF漏洞CSRF漏洞的防止

XSS：Cross Site Script恶意攻击者利用web页面的漏洞，插入一些恶意代码，当用户访问页面的时候，代码就会执行，这个时候就达到了攻击的目的。这些e'yi'dai

SQL注入绕过手段前提：如果程序中设置了关键字过滤，但是并没有对关键字的组成进行分析过滤，即只是整体过滤。例如，如设置了union这个过滤关键字，那么我们可以通过一些方式去实现相关的SQL注入绕过过滤，例如UniOn。1.大小写绕过MYSQL是大小写不敏感的，所以我们可以通过改变关键字的大小写来实现绕过，例如UniOn，AnD，OrdEr等。2.双写绕过如果程序设置了出现关键字之后将其替换为空，我们可以使用双写绕过。例如，uniunionon3.编码绕过使用编码工具对内容（U