项目实战-前后端分离博客系统1.课程介绍 纯后端讲解 完整的前台后台代码编写 主流技术栈（SpringBoot,MybatisPlus,SpringSecurity,EasyExcel,Swagger2,Redis,Echarts,Vue,ElementUI….） 完善细致的需求分析 由易到难循序渐进 2.创建工程​ 我们有前台和后台两套系统。两套系统的前端工程都已经提供好了。所以我们只需要写两

1. 信息收集1. 子域名收集 工具：xray 2. 敏感目录搜集 工具：dirsearch 3. 前端 前端 js，api 接口（主要找 appid，secret，js 解密） 4. 后端 逻辑漏洞 功能点：用 burpsuite/fidder，查看 HTTP history 根据功能点来联想可能的漏洞。

XSS1. 概念 https://juejin.cn/post/6912030758404259854 2. xss.haozi.me1. 0x00 不多说，最基本的语句 2. 0x01 闭合 <textarea> 标签即可。 结果如下： 3. 0x02 使用 "> 来闭合属性和标签 结果如下： 4. 0x03（() 括号被过滤） ‘`’

XXE 实体注入1. 使用条件 PHP 中 libxml < libxml 2.9.1时，其默认支持解析外部实体。 2. xml 格式的说明 XML 的结构包括 XML 声明、DTD（文档类型定义）（可选）和文档元素，具体例子如下： 123456789101112131415<!-- XML 声明 --><?xml version="1.0" ?&g

Python 中的 SSTI1. Jinja21.1 Flask 基础 一些常见的入门网站： https://read.helloflask.com/hello/ 常见的 Flask 项目开头代码： 12345import flaskapp = flask.Flask(__name__)@app.route('/')def hello(): return 

SSRF 代码审计 - Java 篇1. SSRF 介绍1.1 涉及到的协议 file、ftp、http、https、jar、netdoc mailto：是一个用于发送邮件的 URL 协议 jar：Jar URL协议解析，协议可以用来读取 zip 格式文件(包括 jar 包)中的内容 netdoc 协议：在大部分情况下可代替 file 1.2 Java 中能发起网络请求的类和关键代码 代