ali

 

好啊,你们来吧,
我已经在监狱待了400年
再去那儿过个4年5年无所谓
但我不会跑10000英里...
去帮助杀戮那些可怜的民族
如果我想死,我就死在这儿,立刻!
和你们战斗!如果我想死
你们才是我的敌人,不是中国人,
不是越共,也不是日本人
我要自由的时候你们就是我的对手!
我要正义的时候你们就是我的对手!
我要平等的时候你们就是我的对手!
你们想让我去另一个地方为你们打仗
而在美国你们却不支持我...
不支持我的权利和宗教信仰
在家里你们都不支持我!

 

我要做我自己要做的人。我要象我愿意的那样自由思考。

攻击JavaWeb应用[6]-程序架构与代码审计

攻击JavaWeb应用[6]-程序架构与代码审计

http://drops.wooyun.org/tips/429

注:

不管多么强大的系统总会有那么些安全问题,影响小的可能仅仅只会影响用户体验,危害性大点的可能会让攻击者获取到服务器权限。这一节重点是怎样去找到并利用问题去获取一些有意思的东西。

Before:

有MM的地方就有江湖,有程序的地方就有漏洞。现在已经不是SQL注入漫天的年代了,Java的一些优秀的开源框架让其项目坚固了不少。在一个中大型的Web应用漏洞的似乎永远都存在,只是在于影响的大小、发现的难易等问题。有很多比较隐晦的漏洞需要在了解业务逻辑甚至是查看源代码才能揪出来。JavaWeb跟PHP和ASP很大的不同在于其安全性相对来说更高。但是具体体现在什么地方?JavaWeb开发会有那些问题?这些正是我们今天讨论的话题。

攻击JavaWeb应用[3]-SQL注入[1]

攻击JavaWeb应用[3]-SQL注入[1]

http://drops.wooyun.org/tips/236

注:本节重点在于让大家熟悉各种SQL注入在JAVA当中的表现,本想带点ORM框架实例,但是与其几乎无意,最近在学习MongoDb,挺有意思的,后面有机会给大家补充相关。
0x00 JDBC和ORM

JDBC:

JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问。

JPA:

JPA全称Java Persistence API. JPA通过JDK 5.0注解或XML描述对象-关系表的映射关系,并将运行期的实体对象持久化到数据库中。是一个ORM规范。Hibernate是JPA的具体实现。但是Hibernate出现的时间早于JPA(因为Hibernate作者很狂,sun看不惯就叫他去制定JPA标准去了哈哈)。