利用空闲时开发的一套内容发布系统，本着省心省力简单实用的原则开发，采用微软的三层架构，winform登录验证方式。并没有多高明的技术，也没打算开源，有需要的同学可拿去使用。 此系统的产品定位在中小网站，但发布系统强大，支持多频道多模板功能，支持多域名自定义功能，同时前台网页采用自动高速缓存功能 ...

0x00 背景 SQL注入是一种常见Web漏洞，所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。本文以代码审计的形式研究SQL注入原理、挖掘形式、防御方案及缺陷。 0x01 SQL注入产生原理 SQL注入 ...

Java审计之SQL注入篇 0x00 前言 本篇文章作为Java Web 审计的一个入门文，也是我的第一篇审计文，后面打算更新一个小系列，来记录一下我的审计学习的成长。 0x01 JDBC 注入分析 在Java里面常见的数据库连接方式也就那么几个，分别是JDBC，Mybatis ...

0x00概况说明 0x01报错注入及利用 环境说明 kali LAMP 0x0a 核心代码 现在注入的主要原因是程序员在写sql语句的时候还是通过最原始的语句拼接来完成，另外SQL语句有Select、Insert、Update和Delete四种类型，注入也是对这四种 ...

前言 在java中，操作SQL的主要有以下几种方式： • java.sql.Statement • java.sql.PrepareStatment • 使用第三方ORM框架，MyBatis或者Hibernate java.sql.Statement java.sql.statement是最原始 ...

　　　 0X01 普通注入 SQL参数拼接，未做任何过滤 测试语句：id=1 UNION SELECT user(),2,3,4 from users 0x02 宽字节注入 A、MYSQL中的宽字符注入 示例代码： 测试语句：%df%27 mysql ...

以下内容均为自己的理解，欢迎指出和点评。 <1>、什么是容器云 作为运维的我们始终逃不过搭建一套全新平台的过程，这里就简要介绍我是如何搭建一套容器云平台的。 在开始之前就是要想好我们需要什么，为什么需要。容器是近几年比较火的一个名词，不少从事运维的同学都对它有 ...

Java审计之CMS中的那些反序列化漏洞 0x00 前言 过年这段时间比较无聊，找了一套源码审计了一下，发现几个有意思的点拿出来给分享一下。 0x01 XStream 反序列化漏洞 下载源码下来发现并不是源代码，而是一个的文件夹，里面都已经是编译过的一个个class文件。 在一个微信回调 ...