显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

wadcl的博客

不是世界太大,是我们的世界太小

 
 
 
 
 
 

富文本编辑时跨站防护(java)

2016-4-22 10:11:20 阅读39 评论0 222016/04 Apr22

富文本编辑时,无法直接对所有的特殊字符进行转义,因为使用富文本编辑的话,本身就需要插入一些标签和属性,所以对于输出到富文本中的用户可控制输入的数据,做富文本安全过滤(允许用户输出HTML的情况):采用白名单的方式限制使用的标签、属性、特定样式:
public static String XSS_filter(String html){
        String xss_html="";
        String[] array_tag={"a","img","p","br","span","h1","h2","h3","ul","h4","h5","h6","table","tr","th","td","li","u",""};

作者  | 2016-4-22 10:11:20 | 阅读(39) |评论(0) | 阅读全文>>

Java反序列化POC解析

2016-3-8 18:09:27 阅读51 评论0 82016/03 Mar8

Java反序列化漏洞出来已经过去很长一段时间了,在各种利用工具的发布的不断推进下,漏洞的修复速度也比以往快了不少。但是作为一个java菜鸟,我看着工具的版本的更新,今天支持jboss

作者  | 2016-3-8 18:09:27 | 阅读(51) |评论(0) | 阅读全文>>

openfire后台getshell

2015-5-18 20:17:59 阅读225 评论1 182015/05 May18

Openfire(原名为Wildfire)是一个采用Java开发的跨平台开源实时协作(RTC)服务器。
前段时间,纯色说发现一个openfire后台, 直接就弱口令登陆了,我就问拿了shell没,他说可以上传,但是没有专门的马,上网搜索了一下openfire的漏洞,竟然没有发现现成的马,那就只能自己写了,网上很多现成的教程,如何写openfire插件,最基本的就是openfire servlet插件编写。
开始的初衷就是在.java文件中,实现执行命令就行了:
先实现插件的接口:
 

作者  | 2015-5-18 20:17:59 | 阅读(225) |评论(1) | 阅读全文>>

启动dbconsole服务报错修复

2013-8-24 11:25:02 阅读16 评论0 242013/08 Aug24

安装完了数据库后,直接启动OracleDBConsoleorcl服务时,提示启动不了,于是才查看Windows的应用服务日志,只是提示意外退出,于是使用emctl start dbconsole来启动服务,看会报什么错误,首先提示的oracle_sid找不到
启动dbconsole服务报错修复 - wadcl - wadcl的博客
 于是需要在环境变量中添加oracle_sid=xxx,之后继续输入命令,这时提示下面的错误

作者  | 2013-8-24 11:25:02 | 阅读(16) |评论(0) | 阅读全文>>

Serv-U 6.x及之前漏洞提权【原创】

2013-8-21 11:40:52 阅读164 评论0 212013/08 Aug21

虽说是原创,但是方法已经大众化了,只是对自己做的实验进行了记录


默认管理员用户的密码查找

漏洞是使用Serv-u本地默认管理端口,以默认管理员登陆新建域和用户来执行命令,Serv-u>3.x

作者  | 2013-8-21 11:40:52 | 阅读(164) |评论(0) | 阅读全文>>

查看所有日志>>

 
 
 
 
 
 
 
 

北京市 海淀区 狮子座

 发消息  写留言

 
博客等级加载中...
今日访问加载中...
总访问量加载中...
最后登录加载中...
 
 
 
 
 
 
 
心情随笔列表加载中...
 
 
 
 
 
 
 
模块内容加载中...
 
 
 
 
 
 
 
博友列表加载中...
 
 
 
 
 
 
 
列表加载中...
 
 
 
 
 
 我要留言
 
 
 
留言列表加载中...
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016

注册 登录  
 加关注