xxe注入

前置知识

XML文档

要了解XXE漏洞，那么先得了解一下有关XML的基础知识。

XML是一种非常流行的标记语言，在1990年代后期首次标准化，并被无数的软件项目所采用。它用于配置文件，文档格式（如OOXML，ODF，PDF，RSS，…），图像格式（SVG，EXIF标题）和网络协议（WebDAV，CalDAV，XMLRPC，SOAP，XMPP，SAML， XACML，…）

javasec-sql注入

前置知识

sql注入

没有对用户的输入进行处理(过滤,黑名单,SQL预编译),直接将输入拼接到了sql语句中,

导致执行了用户构造的恶意SQL语句

SQL注入的语法与使用的数据库相关,与语言无关

java数据库操作

jdbc

java database connection

java提供的数据库驱动库,用于进行数据库连接,执行SQL语句

JDBC有两个方法执行SQL语句，分别是PrepareStatement和Statement。

在打tryhackme的New-York-Flankees房间的时候遇见了这个攻击方式,没见过,学习一下

前置知识

块密码

在分组密码加密领域，数据一次加密一个块，不同算法的块长度各不相同。

当要加密的数据长度不是块长度的倍数时，就需要填充。

高级加密标准 (AES)

数据加密标准 (DES)

三重数据加密标准 (3DES)

Blowfish

Twofish

填充方案

如前所述，分组密码采用固定大小的块，当明文不是块大小的倍数时需要填充。存在多种填充技术，但在本次攻击中，我们的重点是 PKCS#7。