CTF 13 Web安全 12 WriteUp 8 Java 5 JavaWeb 3 教程 3 HTTP协议 2 Node.js 2 JavaScript 2 Web基础知识 2 SpringBoot 2 算法 1 Git 1 微服务 1 gRPC 1 Markdown 1 SpringSecurity 1 Maven 1 SpringCloud 1 Linux 1 Python 1 生活感悟 1 正则表达式 1 C语言 1 数据结构 1 MySQL 0 SpringMVC 0 MyBatis 0 SpringDataJPA 0 Spring 0 Go语言 0

Java从入门到放弃(1)Java的基础知识、标识符、变量、运算符

# 前言 做了这么久的Java开发,也非常喜欢这门语言,却对它本身了解不多。而我又报名参加了2020年的蓝桥杯Java组,并且打算参加软件杯和C4,为了能把这些比赛打好,在下学期的Java程序设计课里拿个高分(虽然能不能选上这门课还不一定),也为了能对Java语言有一个更深入、系统的了解,不在以后的开发中对语言本身感到困惑,所以打算写这个系列,从零开始重新学习Java基础知识,并对第一次学习掌握得不好的部分重新记录。 # 参考资料 《Java核心技术》 [Java300集](https://www.bilibili.com/video/av59814573?from=search&seid=752578900141232775)及其[资料](https://www.sxt.cn/Java_jQuery_in_action/Java_phylogeny.ht...

2020-01-28 50

SpringBoot整合SpringSecurity踩过的那些坑

# 前言 大家新年快乐呀! 最近在开发自己的个人网站,考虑到以后要做的一个项目要使用Spring Security,遂学习如何将Spring Security与Spring Boot整合并且用在我的个人网站里做授权认证。 但是实际操作之后才发现,这个东西的坑真的是太多了,而且似乎有很多是因为和Spring Boot整合才出现的。 项目地址:[https://github.com/WenDev/WenDev-Web](https://github.com/WenDev/WenDev-Web) # 配置Spring Security Spring Security与Spring Boot整合之后,配置并不是使用xml文件,而是使用一个专门的类来做配置。这个配置类需要继承`WebSecurityConfigurerAdapter`并打上`@Configu...

2020-01-24 15

Maven学习笔记

> 今天开始正式入坑Java Web,当然就得从Maven开始。于是花了一下午在B站上找了视频教程来学习,总算是弄明白了。好在这个东西也不是很难。 # Maven是什么 `Maven`是一种用于Java的项目管理工具,通过一小段信息(XML文档)来管理项目的构建、测试、报告和文档。其核心是**项目对象模型**`POM(Project Object Model)`模型(类似于Web前端开发中的文档对象模型`DOM(Document Object Model)`)。 # 为什么需要Maven这样的工具? + 如果在开发时,项目非常庞大,就不适合像传统的Java项目一样以`package`划分模块,最好是一个项目对应一个工程。 + 开发中所需要的各种jar包,必须提前准备好或者手动下载。同样的jar包重复出现在不同的工程中,浪费存储空间。 + 一个jar包所依赖...

2020-01-24 11

CVE-2017-12615 Tomcat远程代码执行漏洞分析与复现

# 漏洞概述 > 2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,其中就有远程代码执行漏洞(CVE-2017-12615)。当存在漏洞的Tomcat 运行在 Windows 主机上,且启用了HTTP PUT请求方法,攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 的webshell文件,JSP文件中的恶意代码将能被服务器执行,导致服务器上的数据泄露或获取服务器权限。 * 影响范围:Apache Tomcat 7.0.0 – 7.0.79 # 漏洞分析与复现 环境: * Windows8.1 * Tomcat 7.0.56 * JDK 1.8.0_221 * IntelliJ IDEA 2019.1.3 * BurpSuite 2.0.11 ## 漏洞分析 ...

2020-01-24 11

Java Web常见漏洞分析

# 目录 ## Java vs PHP ## Java Web的常见概念 + Java Web项目的目录结构 + Servlet + JSP(Java Server Pages) + JDBC(Java Database Connectivity) + Java Bean ## Java Web常见漏洞分析 + 命令执行(JSP一句话木马等) + SQL注入 + 条件竞争(Servlet线程不安全) + SSRF + 文件上传 + 代码执行(Java反射机制) + 任意文件读取/目录遍历攻击 # Java vs PHP 语言|Java|PHP -------|:------|----- 语言类型(静态类型/动态类型)|静态类型(不过现在似乎引入了动态类型)|动态类型(变量在声明时不需要声明类型) 语言类型(强类型/弱...

2020-01-24 12