Spring审计入门

Java spring审计 spring的一些概念 JavaBean JavaBean 是一种JAVA语言写成的可重用组件。与POJO(Plain Ordinary Java Object)不同,JavaBean是符合一定规范编写的Java类,不是一种技术,而是一种规范。大家针对这种规范,总结了很多开发技巧、工具函数。符合这种规范的类,可以被其它的程序员或者框架使用。它的方法命名,构造及行为必须符合特定的约定: 所有属性为private。 这个类必须有一个公共的缺省构造函数。即是提供无参数的构造器。 这个类的属性使用getter和setter来访问,其他方法遵从标准命名规范。 这个类应是可序列化的。实现serializable接口。 因为这些要求主要是靠约定而不是靠实现接口,所以许多开发者把JavaBean看作遵从特定命名约定的POJO spring处理请求的流程 通过DispatcherServlet 这个前置拦截器类来拦截请求通过映射将请求分发给各控制器处理,最后通过org.springframework.web.servlet.view.InternalResource...»

kafkatao kafkatao 分类:默认分类 标签:none

Sring框架初级探索

依赖注入 依赖注入,是什么? 是一种不需要每次都在自身构造中声明显式绑定特定对象实例化一个依赖的方法。 分为构造器注入和setter注入,增加了该类的扩展性,让它能更容易适用于其他同接口的多种不同实现而非绑定到一个具体类中去。 在外部注入进行。 传统方法是在一个类中构造器中实例化一个依赖对象,但是这个依赖对象不方便从外部去获取到,不利于做单元测试。 如果通过注入方式进行,则外部进入的对象可控,可以对中间的操作过程进行监控。 构造器注入和setter注入的优缺点区别: 主要和注入的顺序和初始化就写入有关 多参数和复杂的构造和对象引入多的时候构造器注入就麻烦 setter用property,构造用ref,如果是xml文件里的话 构造注入可以在构造器中决定依赖关系的注入顺序,优先依赖的优先注入。例如,组件中其他依赖关系的注入,常常要依赖于DataSrouce的注入。采用构造注入,可以在代码中清晰的决定注入顺序。 对于依赖关系无需变化的Bean,构造注入更有用处。因为没有Setter方法,所有的依赖关系全部在构造器内设定。因此,无需担心后续的代码对依赖关系产生破坏。 依赖关系只能在构造...»

kafkatao kafkatao 分类:默认分类 标签:none

毕设记录

蛋疼 写累了记录一下目前毕设的情况 一开始思路很明确,涉及到的内容主要有: Web展示页面部分【最后做 实装为了达到毕设要求的其他exp模块【中期之后或者中期前看有没时间做 一个爬虫用于爬取页面中的url和参数【完成 一个用于获取经过动态渲染后的页面源代码的模块【完成 XSS检测模块【进行中 然后初步先判定输入输出点数据是否经过过滤或编码,根据编码或过滤的情况加载不同的payload去尝试,根据页面回显中内容进行判断 剩下的就是一些数据转换啦编码啦之类的小函数 但是写着写着就有点,偏离了原本的想法。。。 不管中间payload的选择模版怎么判断 最后的判定一定以输入输出对应为主 不同的payload的选择仅仅只是根据filter的类型选择不同模版而已 但是 最后的判定这个函数 也可以根据输出点的不同 来判断,然而这样需要判断其过滤方式 且payload本身的选择在这部分之前,,因此输出点的判断要在payload选择方式之前判断完成 和正则杠上了 现在结果流程比较 明确了 但是还有个问题就是 网络部分的实例声明 为了代码简洁应该不在不同函数中声明多个实例去处理,还需要...»

kafkatao kafkatao 分类:默认分类 标签:none

膜大佬博客笔记

对于安全测试 越早越好 伴随SDL整个过程 培养开发人员安全意识 特别是从甲方角度来看,培养安全意识 弄好安全开发规范,才是一劳永逸的办法 否则修修补补 还要推动整改 不是好事 业务分级 不在低级别的业务上投入太多 投入产出比 测试过程具有针对性 每个环境都不太一样 所以在不同的环境下 可能有独特的 适合去测试的手法 对于测试目标 争取拿到所有文档 争取覆盖所有 可能 或者不可知的 流程 有白盒尽量白盒 可以覆盖更多 还有就是可以 弄到黑盒忽略的东西 比如就不用猜后面代码怎么写的,根据怎么写的有什么绕过方式 而不是 瞎几把猜和试,还有就是逻辑,就可以一眼看出是否正确。(但是目前我的代码审计经验 可能还是黑盒会更顺手一些) 源代码审计1 安全规范合规性检查VS代码漏洞检查 后者 耗时耗力 且不一定长期有效(版本更新 特性拉之类的) 而开发规范 只用检查是否采用了安全的开发方式 只要规范合适 就可以默认采用了的就是安全的 然后只检查是否合规 消耗小 (强调数据来源不可信原则) 源代码审计2 黑名单VS白名单 黑名单正则 没人可以保证一定就是正确的没有可绕过方式 想起P牛小密圈哪...»

kafkatao kafkatao 分类:默认分类 标签:none

安卓逆向学习(一)

最近吾爱开放注册了,翻到吾爱15年的陈年教程,加上突然想学安卓逆向,学习一下 关于APK文件的组成 之前在做项目的时候都是直接zip解压出来按照流程把class dex2jar一下用jd-gui看源代码,没太注意压缩包下每个目录的意义 asset文件夹:资源目录 lib文件夹:存在so库文件(记得有一次CTF的第二个逆向就是 加密算法放到了so库中 META-INF文件夹:存放一些属性文件,其中包含了一些说明版本、属性、入口类等 res文件夹:另一个资源目录,区别在于res的资源文件在编译时会自动生成R.java索引文件,在代码中要引用需要用R.xxx来引用,而asset下的资源文件不需要生成索引,在代码中用AssetManager访问,一般音频视频放在raw或asset下,其他放在res下,使用C++游戏引擎的资源文件放在asset下 AndroidMainfest.xml:整个工程的基础配置属性文件 classes.dex:java代码编译得到的虚拟机能直接运行的文件 resources.arsc:对res目录下资源的索引文件 对APK文件进行修改的话是修改.smali文...»

kafkatao kafkatao 分类:默认分类 标签:none