显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

wadcl的博客

不是世界太大,是我们的世界太小

 
 
 
 
 
 

富文本编辑时跨站防护(java)

2016-4-22 10:11:20 阅读34 评论0 222016/04 Apr22

富文本编辑时,无法直接对所有的特殊字符进行转义,因为使用富文本编辑的话,本身就需要插入一些标签和属性,所以对于输出到富文本中的用户可控制输入的数据,做富文本安全过滤(允许用户输出HTML的情况):采用白名单的方式限制使用的标签、属性、特定样式:
public static String XSS_filter(String html){
        String xss_html="";
        String[] array_tag={"a","img","p","br","span","h1","h2","h3","ul","h4","h5","h6","table","tr","th","td","li","u",""};

作者  | 2016-4-22 10:11:20 | 阅读(34) |评论(0) | 阅读全文>>

Java反序列化POC解析

2016-3-8 18:09:27 阅读40 评论0 82016/03 Mar8

Java反序列化漏洞出来已经过去很长一段时间了,在各种利用工具的发布的不断推进下,漏洞的修复速度也比以往快了不少。但是作为一个java菜鸟,我看着工具的版本的更新,今天支持jboss

作者  | 2016-3-8 18:09:27 | 阅读(40) |评论(0) | 阅读全文>>

openfire后台getshell

2015-5-18 20:17:59 阅读188 评论1 182015/05 May18

Openfire(原名为Wildfire)是一个采用Java开发的跨平台开源实时协作(RTC)服务器。
前段时间,纯色说发现一个openfire后台, 直接就弱口令登陆了,我就问拿了shell没,他说可以上传,但是没有专门的马,上网搜索了一下openfire的漏洞,竟然没有发现现成的马,那就只能自己写了,网上很多现成的教程,如何写openfire插件,最基本的就是openfire servlet插件编写。
开始的初衷就是在.java文件中,实现执行命令就行了:
先实现插件的接口:
 

作者  | 2015-5-18 20:17:59 | 阅读(188) |评论(1) | 阅读全文>>

中转注入的应用

2014-2-14 13:40:36 阅读79 评论1 142014/02 Feb14

就最近这段时间,碰到了许多sql注入,其中有WSDL的请求方式,最可恶的是,该注入还是盲注,这样的话,基本是要依靠工具来实现了。

问题来了,就目前流行的工具,比较好使的就算是sqlmap了,不过我只会基本功能的使用,如何有效的将

作者  | 2014-2-14 13:40:36 | 阅读(79) |评论(1) | 阅读全文>>

启动dbconsole服务报错修复

2013-8-24 11:25:02 阅读12 评论0 242013/08 Aug24

安装完了数据库后,直接启动OracleDBConsoleorcl服务时,提示启动不了,于是才查看Windows的应用服务日志,只是提示意外退出,于是使用emctl start dbconsole来启动服务,看会报什么错误,首先提示的oracle_sid找不到
启动dbconsole服务报错修复 - wadcl - wadcl的博客
 于是需要在环境变量中添加oracle_sid=xxx,之后继续输入命令,这时提示下面的错误

作者  | 2013-8-24 11:25:02 | 阅读(12) |评论(0) | 阅读全文>>

查看所有日志>>

 
 
 
 
 
 
 
 

北京市 海淀区 狮子座

 发消息  写留言

 
博客等级加载中...
今日访问加载中...
总访问量加载中...
最后登录加载中...
 
 
 
 
 
 
 
心情随笔列表加载中...
 
 
 
 
 
 
 
模块内容加载中...
 
 
 
 
 
 
 
博友列表加载中...
 
 
 
 
 
 
 
列表加载中...
 
 
 
 
 
 我要留言
 
 
 
留言列表加载中...
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016

注册 登录  
 加关注