submit

1.　　<input type="text"> type类型为text，定义一个可以输入内容文本输入框 　　 2.　　<input type="submit" value="提交"> type类型为text，定义一个按钮， 点击会提交到form表单地址中 　　 　　另外：<button>提交</button> 按钮的标签button，也具有和<input type="submit" value="提交">同样的作用 　　 3.　　<input type="button" value="提交"> type为button，定义一个按钮， 但是能点击不能提交表单 　　 4.　　<input type="checkbox" > type为checkbox，定义一个复选框，点击勾选 　　 5.　　<input type="radio" name="sex" value="男"> type为radio，定义一个单选框，点击选中 　 6.　　<input type="file"> 选择文件上传 　　 7.　　<input type="email"> 定义一个邮箱文本框，输入不是邮箱时，无法提交，并自动给予提示 8.　　type类型为 url ，定义一个网址输入框，输入不是网址，则会提示 <form action="" method="GET"> <input type="url"> <input

CSRF 在CSRF攻击场景中攻击者会伪造一个请求 （一个链接） 然后欺骗目标用户点击，用户一旦点击了这个请求，整个攻击也就完成了 所以CSRF攻击也被称为“one click“攻击 例子: 想要修改lucy购物地址信息 lucy必须处于登录的状态，lucy必须点击攻击链接 xss和csrf区别: 1.csrf(get) 登录之后，可以进入修改个人信息 然后进行抓包 将get请求修改为攻击者伪造的链接 在登录状态下点击，就可以修改用户信息 /pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=12345678922&add=hebei&email=lucy%40pikachu.com&submit=submit 2. csrf (post) 修改信息后，抓包 如果是POST型的，所有参数在请求体中提交，我们 不能通过伪造URL的方式进行攻击 这里的攻击方式跟XSS中POST类型是一样的， 攻击者可以搭建一个站点 ，在站点上做一个表单， 诱导lucy点击这个链接，当用户点击时，就会自动向存在CSRF的服务器提交POST请求修改个人信息。、 编写一个post.html页面，代码如下所示，本文把此页面放到 Kali 的/var/www/html/pikachu/doge_csrf下，然后启动 apache 服务

package lime.tij._021._002._014; import java.util.concurrent.*; /** * @Author : Liangmy * @Description : * @Date : Created in 2020/2/6 下午1:58 * @Modified By : * * * 01. 任务 * Thread.yield() : 1. 仅使当前线程从运行状态转到可运行状态，而不是等待或阻塞状态。 * Thread.yield() : 2. 将当前线程的运行机会交给线程池中拥有相同优先级的线程。 * Thread.yield() : 3. 并不能一定保证当前线程由运行状态转到可运行状态。 * Runnable::run() : 当从Runnable导出一个类时，它必须具有run()方法，但是这个run()不会产生任何内在的线程能力。要实现线程行为，你必须显式地将一个任务附着到线程上。 * 02. 线程 * 将Runnable对象转变为工作任务的传统方式是把它提交给一个Thread构造器 * 调用Thread对象的start()方法为该线程执行必需的初始化操作，然后调用Runnable的run()方法，以便在这个新线程中启动该任务。 * 03. 线程池 * Java SE5的java.util.concurrent包中的执行器

ecshop 导出订单 导出excel订单 很多时候，我们每月或者每年都需要做一个订单销售总结，这时要从ecshop订单管理里面拿订单详情，所以需要给ecshop订单管理加一个“导出订单”功能！ 思路分析：ecshop后台的“订单管理”里面“打印订单”就是我们要的内容，只需要把内容用PHPExcel导出到一个excel表里面即可。 最终效果：所有信息版，为了能看全所有信息，我把列缩小了 1，admin\templates\order_list.htm 加入“导出订单”按钮 <input name="confirm" type="submit" id="btnSubmit" value="{$lang.op_confirm}" class="button" disabled="true" onclick="this.form.target = '_self'" /> <input name="invalid" type="submit" id="btnSubmit1" value="{$lang.op_invalid}" class="button" disabled="true" onclick="this.form.target = '_self'" /> <input name="cancel" type="submit" id="btnSubmit2" value="{

Less-11 第11关不再是之前的get方式，而是post方式，我们不能直接看到数据，所以要使用burpsuite 首先进行登录用户名密码均为admin 打开burpsuite 将最后一句uname=admin&passwd=admin&submit=Submit复制下来，关闭burpsuite，打开post data,然后执行，发现登陆成功 uname=admin'&passwd=admin&submit=Submit 返回结果显示存在sql语法错误，证明存在注入漏洞。 uname=admin'or 1=1#&passwd=admin&submit=Submit 此时登陆成功，可以验证存在注入漏洞（注释符不能使用--+，因为--+主要是用在url中，#是适用的） 在password位置进行验证 uname=a&passwd=a' or 1=1#&submit=Submit 使用uname=a'order by 3#&passwd=a &submit=Submit和uname=a&passwd=a'order by 2# &submit=Submit判断 uname=a&passwd=a'union select 1,2# &submit=Submit 由此，可以得出一共有两列 查询当前所有数据库 uname=a&passwd=a'union select 1,group

线程池的概述和使用 A：线程池概述 程序启动一个新线程成本是比较高的，因为它涉及到要与操作系统进行交互。而使用线程池可以很好的提高性能，尤其是当程序中要创建大量生存期很短的线程时，更应该考虑使用线程池。线程池里的每一个线程代码结束后，并不会死亡，而是再次回到线程池中成为空闲状态，等待下一个对象来使用。在JDK5之前，我们必须手动实现自己的线程池，从JDK5开始，Java内置支持线程池。 B：内置线程池的使用概述 JDK5新增了一个Executors工厂类来产生线程池，有如下几个方法 public static ExecutorService newFixedThreadPool(int nThreads) public static ExecutorService newSingleThreadExecutor() 这些方法的返回值是ExecutorService对象，该对象表示一个线程池，可以执行Runnable对象或者Callable对象代表的线程。它提供了如下方法 Future<?> submit(Runnable task) Future submit(Callable task) 使用步骤： 创建线程池对象 创建Runnable实例 提交Runnable实例 关闭线程池 C：案例演示 * 提交的是Runnable // public static

概述 CSRF 是 Cross Site Request Forgery 的 简称，中文名为 跨域请求伪造 在CSRF的攻击场景中， 攻击者会伪造一个请求（一般是一个链接） 然后欺骗目标用户进行点击，用户一旦点击了这个请求，这个攻击也就完成了 所以CSRF攻击也被称为“one click”攻击 攻击场景例子 lucy想要在购物网站上 修改购物地址 ，这个操作是lucy通过浏览器向后端发送了请求。 这个请求里面包含了lucy的新有货地址，如果是通过GET提交的，那么会以URL传参的方式的方式将新的地址提交给后台，类似上图中的URL， 相当于点了链接就能修改个人信息 。 如果这时候攻击者想要修改lucy的信息怎么办？那么他需要取得lucy的账号， 获得登录权限 。这时候他可以将修改个人信息的 请求伪造 一下，构造类似下图中的URL，引诱lucy在登录状态下进行点击，这样攻击就成功了。 CSRF攻击需要条件 ① 目标网站没有对修改个人信息修改的请求进行防CSRF处理，导致该请求容易被伪造 因此，判断一个网站有没有CSRF漏洞，其实就是判断对关键信息（密码等）的操作（增删改）是否容易被伪造 ② lucy点击伪造的请求链接时有登录状态（已经登陆了目标网站），如果lucy没有登录，那么即便lucy点击了链接也没有作用 从CSRF的利用条件来看，CSRF的利用难度会大一些

web安全 实验报告 实验二 CSRF 学生姓名 倪文锴 年级 2017级 区队 实验班 指导教师 高见 一、概述 CSRF 是 Cross Site Request Forgery 的 简称，中文名为跨域请求伪造 在CSRF的攻击场景中，攻击者会伪造一个请求（一般是一个链接） 然后欺骗目标用户进行点击，用户一旦点击了这个请求，这个攻击也就完成了 所以CSRF攻击也被称为“one click”攻击 （1） CSRF--（get） 首先先进入登录界面 点击修改个人信息，抓包得到链接 从提交的请求来看，后台没做CSRF token，同时也是通过GET请求来提交修改信息，我们拿到这个，修改一下，然后让kevin点击就好，我们构造的URL中把地址add改为cn。kevin一点击就修改了地址。 192.168.141.1:88/pikachu-master/vul/csrf/csrfget/csrf_get_edit.php?sex=%E7%94%B7&phonenum=123456789&add=cn&email=7955526516%40qq.com&submit=submit GET请求修改个人信息，所有的参数都在URL中体现，这种方式使比较好利用的，我们只要能够伪造出来这个链接，把对应的参数内容修改成为我们需要的值，让带有登录态的用户去点击就完成了我们的攻击。 修改网址，完成修改

不管是第几关，我们的最终目标是获得用户密码，从而获取最高权限！ 11到21关的提交方式全是post型的，我这里使用burpsuit抓包软件，也可以用hackbar选中的post，下面的实验我们穿插的使用（用hackbar的时候我们的注释符号用#，不能用--+,因为--+会出错） 第十一关 从这一关开始，我们就进入到了POST注入的世界了。在接下来的几关中我们将陆续介绍关于POST注入的方法以及技巧。 post是一种数据提交方式，它主要是指数据从客户端提交到服务器端 首先我们发现他是单引号字符型注入 判断它有几个显示位，（看来是两个） 接下来我们使用 联合查询语句 union select 来进行爆破，使用union select的时候要注意，输入的unname必须是一个不存在的，，否则将会输出不出来 首先获取数据库使用者 名称权限，版本 获取我们要爆破的数据库名 获得该数据库中的表名 获得列名，因为我们没有指定数据库，所以他把所有数据库里面的users表的列名全都列出来，，加上and table_schema=database()就可以指定该数据库，注意users旁边要加引号，不加会出错 获得用户名密码 第十二关（注入格式将十一关的'还成 "） 就行） 和第十一关一样，就是把单引号闭合换成双引号变形闭合就可以啦 ' ——> ") 第十三关 发现输入完正确的输入后，他不给我们回显出来