小白知识点(不定期更新...)

有时,对你来说,错误的朋友是一个十全十美的好人,但是你因为错误的原因选择了她,并不是每一个本身是体面人的男人,都必定是你的良人,也不是每一个性情中人的女人,都必定是你的益友。有时,问题不在友人的任何一方,问题在于她们所拥有的友谊类型。——伊丽莎白·坎特《简·奥斯丁之幸福哲学》

网页后缀名

@Override 重写父类的方法.
@Nullable 表示定义的字段可以为空.
一般情况下扩展名可以体现出一个网站使用的技术,xxx.html?id=xxx,这个就是普通的html页面,然后通过javascript或者vbscript来接受页面Get的提交 xxx.do?id=xxx, 这样的一般是用Java,和jsp开发的。再比如说用isapi开发的可以是 xx.dll php开发的是 .php 或者 .php3,perl开发的是 .pl .cgi 等等
还有很多,就不一一举例了, 总之有很多技术都得靠服务器才能实现.

后缀名.do .jsp有什么区别

do可能是用struts编的,如果你对java Web有所了解的话,你应该知道struts,一般的jsp就是直接用.jsp结尾,在struts中你可以部署和设定后缀名,其实用tomcat也可以设定后缀名,你得修改一些配置

有比较大的可能是用STRUTS框架开发的,因为后缀可以自定,也有可能是其它的语言做的

Struts是一个基于Sun J2EE平台的MVC框架,主要是采用Servlet和JSP技术来实现的。由于Struts能充分满足应用开发的需求,简单易用,敏捷迅速,在过去的一年中颇受关注。
Struts把Servlet、JSP、自定义标签和信息资源(message resources)整合到一个统一的框架中,开发人员利用其进行开发时不用再自己编码实现全套MVC模式,极大的节省了时间,
所以说Struts是一个非常不错的应用框架。
【StrutsIDE:用于Struts辅助开发的一个Eclipse插件】

使用Struts2框架的页面一般都是以.action结尾的,所以如果我们看到这种URL,可以考虑Struts2漏洞。
.do是java,java喜欢这么写没做静态化时候做了静态化之后,才显示.html
转载:https://www.cnblogs.com/XACOOL/p/5361901.html

目录浏览漏洞的预防:

IIS中关闭目录浏览功能:在IIS的网站属性中,勾去“目录浏览”选项,重启IIS。

Apache中关闭目录浏览功能:打开Apache配置文件httpd.conf,查找“Options Indexes FollowSymLinks”,修改为“ Options -Indexes”(减号表示取消,保存退出,重启Apache)。

Nginx 中默认不会开启目录浏览功能,若您发现当前已开启该功能,可以编辑nginx.conf文件,删除如下两行:autoindex on;autoindex_exact_size on,然后重启Nginx。
转载自CSDN博主「谢公子」的原创文章,原文链接:https://blog.csdn.net/qq_36119192/article/details/86496362

常见的敏感信息路径:

Windows系统

c:\boot.ini // 查看系统版本

c:\windows\system32\inetsrv\MetaBase.xml // IIS配置文件

c:\windows\repair\sam // 存储Windows系统初次安装的密码

c:\ProgramFiles\mysql\my.ini // MySQL配置

c:\ProgramFiles\mysql\data\mysql\user.MYD // MySQL root密码

c:\windows\php.ini // php 配置信息

Linux/Unix系统

/etc/passwd // 账户信息

/etc/shadow // 账户密码文件

/usr/local/app/apache2/conf/httpd.conf // Apache2默认配置文件

/usr/local/app/apache2/conf/extra/httpd-vhost.conf // 虚拟网站配置

/usr/local/app/php5/lib/php.ini // PHP相关配置

/etc/httpd/conf/httpd.conf // Apache配置文件

/etc/my.conf // mysql 配置文件

/root/.bash_history          #查看历史命令

/root/.mysql_history         #mysql历史命令记录文件

/var/lib/mlocate/mlocate.db  #本地所有文件信息

/etc/ssh/sshd_config         #ssh配置文件,如果对外开放可看到端口

/proc/self/fd/fd[0-9]*(文件标识符)

/proc/mounts

/porc/config.gz

/root/.ssh/authorized_keys      

/root/.ssh/id_rsa  

/root/.ssh/id_ras.keystore

/root/.ssh/known_hosts

其他程序的配置文件
apache:

/etc/httpd/conf/httpd.conf 
/etc/apache2/httpd.conf
/etc/apache2/apache2.conf

nginx:

/etc/nginx/nginx.conf
/usr/local/nginx/conf/nginx.conf
/usr/local/etc/nginx/nginx.conf

redis:
/etc/redis.conf
index.php?f=../../../../../../etc/passwd

宽字节注入

使用条件:
1、使用addslashes()函数(提交的符号用“\”转义);
2、数据库设置编码吗为GBK格式。

原理:前端输入%df时,首先经过addslashes()转义变成了%df%5c%27,之后,在数据库查询前,因为设置了GBK编码,GBK编码在汉字编码范围内的两个字节都会重新编码为一个汉字。然后,MySQL服务器就会对查询语句进行GBK编码,即%df%5c被编码成了“運”,而单引号就逃逸了出来,从而形成了注入漏洞。

参考链接

index.do为后缀的是什么开发语言? 有什么技术特点
https://blog.csdn.net/qq_36119192/article/details/86496362

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×