根据sql注入各自的特点可以分为联合注入、二次注入、宽字节注入、堆叠注入等，根据http报文中的不同位置可以有cookie注入、referer注入、x-forwarded-for注入等。产生sql注入漏洞主要因为没有对接受到的参数进行过滤、验证和处理直接拼接到了sql语句中，然后直接执行该sql语句，这样就会导致恶意用户传入一些精心构造的sql代码，与后台sql语句拼接后形成完整的sql语句执行，

AWVS扫描Web应用程序。

Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式，也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候，类型丢失，这样我们在反序列化的时候就不需要再指定类名。

面试题/面经，本质上只是一种“见识”，他并不能实质上提升自己的水平，还是希望大家（包括我自己）不要太局限于面经，可以查缺补漏但没必要面经问什么自己就一定要学什么，按自己的节奏学就行了，毕竟每人的技术特点不一样，面试的过程和问题也会不一样。0x01自我介绍主要讲自己的项目实战经验，在其他公司实习做过什么项目。0x02 渗透的流程博主现在技术还在权限提升阶段，漏洞利用是时刻都要研究的，等我学习的完了，

Spring Cloud Gateway是基于Spring Framework和Spring Boot构建的API网关，它旨在为微服务架构提供一种简单、有效、统一的API路由管理方式。Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告，据公告描述，当启用和暴露Gateway Actuator端点时，使用Spring Cloud Gateway的应用程序可受到代码

afrog 是一款性能卓越、快速稳定、PoC 可定制的漏洞扫描工具，PoC 包含 CVE、CNVD、默认口令、信息泄露、指纹识别、未授权访问、任意文件读取、命令执行等多种漏洞类型，帮助网络安全从业者快速验证并及时修复漏洞。是一个 Go (Golang) 编写的全新的开源漏洞测试框架，实现对poc的在线编辑、管理、测试。如果你想自己扶梯子，又想实现poc的逻辑，又想在线对靶机快速测试，那就使用poc

Nessus号称是世界上最流行的漏洞扫描程序，全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务，并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件，Nessus可同时在本机或远端上遥控，进行系统的漏洞分析扫描。Nessus也是渗透测试重要工具之一.(一）kali安装Nessus。

1．漏洞简介1．漏洞简介2020年2月20日，公开CNVD 的漏洞公告中发现 Apache Tomcat文件包含漏洞（CVE-2020-1938）。是Apache开源组织开发的用于处理HTTP服务的项目。Apache Tomcat 服务器中被发现存在文件包含漏洞，攻击者可利用该漏洞读取或包含Tomcat上所有webapp目录下的任意文件。该漏洞是一个单独的文件包含漏洞，依赖于Tomcat的AJP（

1.引言之前在《全国高校密码数学挑战赛》中接触到关于椭圆曲线密码的题目，通过复习大一下学期的《离散数学》和相关文献，将其进行如下总结。如下4篇文章讲解的很清楚。Elliptic Curve Cryptography: a gentle introduction - Andrea CorbelliniElliptic Curve Cryptography: finite fields and dis