-- 基础 -- 特点 强类型语言: 变量必须声明数据类型, 且变量的数据类型不可被改变 赋值: java的赋值有返回值, 返回值即赋的值(等号右边的值) 字符: 单引号代表单个字符, 而双引号代表一个字符串 条件表达式: 判断语句只能接受布尔值, 连0和1都不能接收 版本: JDK1.0 JDK1.1 JDK1.2 JDK1.5(Java5) J…

-- 普通 -- CharSequence 接口 特点: 实现类 - CharBuffer, Segment, String, StringBuffer, StringBuilder 作用: 代表可读的字符序列 String 类 特点: java.lang.String类, 不可变对象(Immutable) 作用: 代表字符串 -- 实例方法 --…

前几天代码审计看见有一个系统用了JAX-RX，所以特地学一下 简介 概念: JAX-RS是Java编程中用于开发 RESTful 风格 Web 服务的一套官方标准规范, 一般通过各种框架进行实现 特点: 基于注解来定义API接口 框架: Jersey RESTEasy ApacheCXF -- Jersey -- 基础 概念: Jersey时JAX…

-- 简介 -- 简介 原理: html/js存在用户可控制的部分, 导致可通过构造, 使得在用户浏览器中执行恶意js脚本 常见功能点: 文件上传 jsonp的callback函数 富文本编辑器 用户名 用户资料/信息 评论区/聊天框 备注 后台配置项(网站标题 Logo链接等) 搜索框(以下是"xxx"的搜索结果) 报错(&q…

-- 普通认证逻辑漏洞 -- 验证绕过/利用 验证形式 图形验证码: 生成图形的二进制数据(通常是base64加密后的)同时生成 跟验证码绑定的token 并返回(通过参数/Cookie), 验证时只有 提交token和 对应图形中的字符串 才可验证通过 滑块验证码: 生成 带缺口的背景图 滑块图, 同时生成 跟验证码绑定的token 并返回(通过…

-- 基础 -- 概念 简介: OAuth是一种授权框架, 允许 网站/应用 申请 另一个网站/应用上用户 的有限访问权限 例子: 微信/QQ扫描第三方登录 认证流程(通用) 客户端请求授权: 客户端应用(如"百度") 向资源所有者(用户) 申请访问其在第三方平台(如"微信") 的特定资源(如用户头像、邮箱), 申请中需明确客户端身份、访问范围等信…

-- 域 -- 概念 活动目录(Active Directory, AD): 指域环境中提供目录服务的组件 由组织单元、域（domain）、域树（tree）、森林（forest）构成的层次结构 域是最基本的管理单元, 其中域树包含多个域, 森林包含多个域树 Active Directory数据库(AD) 作用: 目录服务数据库, 存储所有域对象(用…

简介 概念: Druid是开源的数据库连接池, 用于监控对数据库的操作, 无法看到数据库内的具体内容, 相当于详细的数据库日志 出现: 很多时候出现在若依CMS中的/prod-api/druid/login.html 发现: 可以递归扫描/druid/login.html, 查看是否存在对应页面 -- 安全 -- 未授权访问 简介: 若访问权限配置…

-- 身份认证 -- 图形验证码 图形 验证码可复用 - 图形验证码绕过（中） 生成的图形验证码在认证错误/成功后未失效, 所以可以复用 图形 验证码回显文本内容 - 图形验证码绕过（中） 生成图形验证码的api会回显验证码的具体内容 短信/邮箱验证码 验证码通用 - 短信/邮箱验证码 绕过（高） 由于验证码未和 手机号/邮箱 绑定在一起, 导致发…

-- 云对象存储 -- 简介 对象: 用户上传的每一个文件都会被封装成对象, 而文件附加的其它信息即为对象的属性 索引: 每个对象有名为key的属性, 用于索引, 可通过key对存储对象进行直接的搜索和定位 存储桶(Bucket桶): 用于存储对象, 可创建多个存储桶以分类存储不同的对象 收费: 云存储一般通过记录 读写次数 与 流量大小 来计费,…