首页
学习
活动
专区
工具
TVP
发布
您找到你想要的搜索结果了吗?
是的
没有找到

某开源博客系统最新版源码审计

0×00 概述 近期审计一个JAVA开源博客系统mblog2.5最新版,整体系统还是很安全的,漏洞较少,传统的问题像XSS系统使用全局过滤的方式进行实体化处理,上传问题使用白名单校验,越权方面限制的也比较死...0×02 白盒审计 源码信息:mblog2.5 站点地址: https://gitee.com/szhirong/mblog 不安全的随机数生成(Fortify常扫出): JAVA语言在生成URL或者一些需要加密密钥等情况下会需要使用随机数...,随机数会分为统计学和密码学两种,统计学输出的数据易猜测,所以需要随机数生成的时候建议使用密码学PRNG,可以通过搜索random()函数判断; 代码位置: \mblog\mblog-base\src\...代码位置: \mblog\mblog-base\src\main\java\mblog\base\utils\ImageUtils.java ?

91350

python和Ajax在一起了?真的???

中包含多个参数 选了前三页观察,发现在Request URL里面除了最后page=2,page=3,其他参数都不发生变化 4、观察Preview里面的信息 想要获取的信息都在data——cards——mblog...下面 分别查询三个页面发现,只有在第一页中时,有些cards下面不存在mblog,也就是说爬出来的内容可能会为空,所以本次爬取我舍去第一页内容不全的,从page=2开始,这样可以保证爬出来的内容比较全...print(re.json())后,输出全部内容 j = get_page(page)返回那个解析页面,从解析页面里面找data——cards,items为cards下面所有的东西,我只想获得mblog...先找到mblog用item接收,再再item下找到id用id接收,再找raw_text用raw_text接收,用append进行列表的依次添加,得到 all_id和all_raw_text。...cards'] all_id=[] all_raw_text=[] for item in items: item = item['mblog

41340
领券