-- 基础 -- 特点 强类型语言: 变量必须声明数据类型, 且变量的数据类型不可被改变 赋值: java的赋值有返回值, 返回值即赋的值(等号右边的值) 字符: 单引号代表单个字符, 而双引号代表一个字符串 条件表达式: 判断语句只能接受布尔值, 连0和1都不能接收 版本: JDK1.0 JDK1.1 JDK1.2 JDK1.5(Java5) J…

-- 普通 -- CharSequence 接口 特点: 实现类 - CharBuffer, Segment, String, StringBuffer, StringBuilder 作用: 代表可读的字符序列 String 类 特点: java.lang.String类, 不可变对象(Immutable) 作用: 代表字符串 -- 实例方法 --…

前几天代码审计看见有一个系统用了JAX-RX，所以特地学一下 简介 概念: JAX-RS是Java编程中用于开发 RESTful 风格 Web 服务的一套官方标准规范, 一般通过各种框架进行实现 特点: 基于注解来定义API接口 框架: Jersey RESTEasy ApacheCXF -- Jersey -- 基础 概念: Jersey时JAX…

-- 简介 -- 简介 原理: html/js存在用户可控制的部分, 导致可通过构造, 使得在用户浏览器中执行恶意js脚本 常见功能点: 文件上传 jsonp的callback函数 富文本编辑器 用户名 用户资料/信息 评论区/聊天框 备注 后台配置项(网站标题 Logo链接等) 搜索框(以下是"xxx"的搜索结果) 报错(&q…

-- 普通认证逻辑漏洞 -- 验证绕过/利用 验证形式 图形验证码: 生成图形的二进制数据(通常是base64加密后的)同时生成 跟验证码绑定的token 并返回(通过参数/Cookie), 验证时只有 提交token和 对应图形中的字符串 才可验证通过 滑块验证码: 生成 带缺口的背景图 滑块图, 同时生成 跟验证码绑定的token 并返回(通过…

-- 域 -- 概念 活动目录(Active Directory, AD): 指域环境中提供目录服务的组件 由组织单元、域（domain）、域树（tree）、森林（forest）构成的层次结构 域是最基本的管理单元, 其中域树包含多个域, 森林包含多个域树 Active Directory数据库(AD) 作用: 目录服务数据库, 存储所有域对象(用…

-- 身份认证 -- 图形验证码 图形 验证码可复用 - 图形验证码绕过（中） 生成的图形验证码在认证错误/成功后未失效, 所以可以复用 图形 验证码回显文本内容 - 图形验证码绕过（中） 生成图形验证码的api会回显验证码的具体内容 短信/邮箱验证码 验证码通用 - 短信/邮箱验证码 绕过（高） 由于验证码未和 手机号/邮箱 绑定在一起, 导致发…

-- 操作 -- 客户端连接 连接: ftp <目标地址> 或使用工具(如XFTP) 连接后命令: ls 列出远程目录文件 cd 切换远程目录 get <文件名> 下载文件 put <文件名> 上传文件 delete <文件名> 删除文件 rename <文件名> 重命名文件 mget 批…

-- 基础命令 -- 基础 安装: 安装: sudo apt-get install redis-server启动: sudo systemctl start redis-server 连接: 连接本地服务: redis-cli连接远程服务(免密登录): redis-cli -h host连接远程服务(密码登录): redis-cli -h hos…

MySQLi 特点: MySQLi提供了 面向对象 和 面向过程两种接口 注: 两者使用上并无差异, 甚至可以混着用(但不推荐混着用) mysqli类 面向对象 -- 方法 -- #连接 public __construct( ?string $hostname = null, //服务ip ?string $username = null, //…