在写软构实验的时候,写出了这样的代码,然后报错:Generic array creation 诶,java中不允许创建泛型数组吗?为什么呢? 查找了一些资料,明白了,这是由于java对泛型的类型擦除特性导致的。 首先我们要搞清楚,java为什么要引入泛型? 先来看这样一段代码: public static void main(String[] args) { List lists = new ArrayList(); lists.add("test"); lists.add(5); String s = (Stri…
咕得太久了,以后一定不咕了 oh-my-grafana 这道题首先是利用了一个CVE(CVE题一般来说直接找框架的官方网站,CVE官网都会有相关说明,然后在google或者github上面搜CVE编号,看能不能找到exp,没有的话需要去看patch,自己写exp) 这道题一进去就是一个grafana,下面有版本号8.2.6,查找官方后一个版本8.2.7的release note,可以看到修复了一个CVE: 注意到有一个CVE-2021-43798,上github搜一下,看到了一个仓库 jas502n/Grafana…
一、介绍 敏捷开发,本质上是增量开发与迭代开发的叠加。 敏捷开发是通过快速迭代和小规模的持续改进,以快速适应变化。每次迭代都会处理一个小规模增量。 虽然敏捷开发将软件开发分成多个迭代,但是也要求,每次迭代都是一个完整的软件开发周期,必须按照软件工程的方法论,进行正规的流程管理。 二、具体方法 1、目标制定,目标对齐:市场评估之后,制定一个统一目标,所有部门的目标向这个目标对齐 2、产品规划:产品研发部门根据目标制定产品关键路线图,这个路线图中分布着不同的产品特性和其完成时间; 3、组织产品待办列表:产品规划产生的需…
基础原理见这篇文章:XXE攻击原理 - 简书 (jianshu.com) 一般来说,参数实体方便之处在于在外部引用dtd的时候可以引用其它的已定义实体,比较方便嵌套 WEB373 payload: <!DOCTYPE ANY[ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <test1> <ctfshow>&xxe;</ctfshow> </test1> ctfshow应该作为根元素下的一个属…
在软件构造课上,介绍了一些常用的测试方法,包括黑盒测试、白盒测试、集成测试等, 所以想要去了解一下现在的测试的主流方法。 一、按测试设计方法分类 1、黑盒测试 黑盒测试是把测试对象看做一个黑盒子,利用黑盒测试法进行动态测试时,需要测试软件产品已经实现的功能是否符合功能设计要求,不需测试软件产品的内部结构和处理过程。 黑盒测试注重于测试软件的功能性需求,也即黑盒测试使软件工程师派生出执行程序所有功能需求的输入条件。黑盒测试并不是白盒测试的替代品,而是用于辅助白盒测试发现其他类型的错误。 也就是说,黑盒测试不需要测试工…
admin_login 附件在这里:链接: https://pan.baidu.com/s/1lr62ACkKYHzQA7Avg05zng?pwd=tug1 提取码: tug1 复制这段内容后打开百度网盘手机App,操作更方便哦 这道题给了源码,其中test_session.php很值得玩味 <?php include "class.php"; ini_set('session.serialize_handler','php_binary'); session_start(); ?> 考点非常明确了,利…
简单说一下SSTI常用的函数,原理网上的讲解很多,贴个链接就行了SSTI模板注入 - 简书 (jianshu.com) b. 寻找具体方法函数 __dict__:静态函数、类函数、普通函数、全局变量以及一些内置的属性,父类的__dict__无法影响子类 __getattribute__():获取实例、类、函数的属性。 WEB361 第一道题,就把我自己是怎么找的完整做个分享: 注入点纯靠经验了,看到有个Hello,盲猜是GET的name参数,试试就对了 接下来是测试引擎种类,看这张图 测试出来应该是Jinja2 下…
jwt基础介绍以及攻击技巧: JSON Web Token (JWT) 攻击技巧 - 先知社区 (aliyun.com) jwt解密网站: JSON Web Tokens - jwt.io WEB345 有点无语,不知道为啥原来wp能打通的payload到我这里就打不通了... 正常应该是把sub的user改成admin再base64就行了,不过打不通...如果是无算法的话好像不能加前面的header部分就能过,如果是有算法(比如改成HS256)就需要加header才可以过...不知道为什么... payload:…
某菜鸡在经历了cmd壳下运行的WSL shell里zsh显示出现各种申必问题之后,终于忍不住痛下决心要解决这个问题。然后就在我的大佬队友那里了解到了一个神器——windows ternimal,然后现在我的想法:cmd是什么,狗都不用(手动狗头) 下面就给大家演示一下,如何从bash升级到一个带有自动补全+自定义主题+显示正常的zsh 首先,要安装zsh和配置字体,这个可以参见windows下linux子系统(Ubuntu)配置(基础配置+zsh) - yink's studio (yinkstudio.xyz) …
