之前在参加一场CTF竞赛中遇到了xxe漏洞，由于当时并没有研究过此漏洞，解题毫无头绪。为了弥补web安全防御知识以及减少漏洞利用短板，我翻阅了一些关于xxe漏洞的资料，学习后在此总结分享。XML基础在介绍xxe漏洞前，先学习温顾一下XML的基础知识。XML被设计为传输和存储数据，其焦点是数据的内容，其把数据从HTML分离，是独立于软件和硬件的信息传输工...

　　跨站脚本简称xss（cross-site scripting），利用方式主要是借助网站本身设计不严谨，导致执行用户提交的恶意js脚本，对网站自身造成危害。xss漏洞是web渗透测试中最常见而又使用最灵活的一个漏洞，近期在拜读了《白帽子讲web安全》、《Web实战篇》、《XSS跨站脚本攻击剖析与防御》等几部佳作后，决定整理关于Xss漏洞的一些知识，并...

服务器解析漏洞算是历史比较悠久了，但如今依然广泛存在。在此记录汇总一些常见服务器的解析漏洞，比如IIS6.0、IIS7.5、apache、nginx等方便以后回顾温习。（一）IIS5.x-6.x解析漏洞使用iis5.x-6.x版本的服务器，大多为windows server 2003，网站比较古老，开发语句一般为asp；该解析漏洞也只能解析asp文件，...

文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞，因为用它获得服务器权限最快最直接。但是想真正把这个漏洞利用好却不那么容易，其中有很多技巧，也有很多需要掌握的知识。俗话说，知己知彼方能百战不殆，因此想要研究怎么防护漏洞，就要了解怎么去利用。此篇文章主要分三部分：总结一些常见的上传文件校验方式，以及绕过校验的各种姿势，最后对此漏洞提几点防护建议。（根据...

1，残忍的方法：layer.closeAll(); //疯狂模式，关闭所有层 layer.closeAll('dialog'); //关闭信息框 layer.closeAll('page'); //关闭所有页面层 layer.closeAll('iframe'); //关闭所有的iframe层 layer.closeAll('loading'); //...

按拼音排序：SELECT * from STUDENT ORDER BY NLSSORT(NAME, 'NLS_SORT=SCHINESE_PINYIN_M') 按部首顺序SELECT * from STUDENT ORDER BY NLSSORT(NAME, 'NLS_SORT=SCHINESE_RADICAL_M') 按笔画顺序SELECT * f...