提供了编程的基础技术教程

zl程序教程

java代码审计

  • java代码审计

    java代码审计

    sql注入关键字Statement createStatement like '%${ in(${ select update insert statement、select、update、delete mybatis:${}、$param$、select、update、delete复制跨站脚本测试要点是否存在全局XSS过滤器,过滤规则是否符合安全要求输出时是否进行编码(HTML、J

    日期 2023-06-12 10:48:40     
  • 代码审计 | 曲折的某java教务系统代码审计

    代码审计 | 曲折的某java教务系统代码审计

    这是F12sec的第63篇原创 申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途!ps:感谢北神,小丑师傅给的代码本文由团队师傅Challenger投稿,转载请标明来源。1.审计开始1.为struts框架查看web.xml中<filter-mapping>的<url-pattern>来确定拦截规则,当是.action时所有以.action为结尾的请求都

    日期 2023-06-12 10:48:40     
  • 【JAVA代码审计】从零开始的JDBC下的SQL注入审计

    【JAVA代码审计】从零开始的JDBC下的SQL注入审计

    Hello,各位小伙伴大家好~这里是你们的小编Monster .今天起开始更新JAVA代码审计相关内容了~首先从大家最熟悉的SQL注入讲起包含以下内容:(1)JDBC下的JAVA代码审计(2)Mybatis下的JAVA代码审计(3)Hibernate下的JAVA代码审计因为是从零开始的代码审计分享所以本套分享会从环境搭建开始讲起~今天的内容是JDBC下的JAVA代码审计,一起来看看吧,Here W

    日期 2023-06-12 10:48:40     
  • 【JAVA代码审计】从零开始的Mybatis框架SQL注入审计(上)

    【JAVA代码审计】从零开始的Mybatis框架SQL注入审计(上)

    hello,各位小伙伴大家好~这里是小编Monster~今天继续分享JAVA代码审计相关内容:(1)JDBC下的SQL注入审计(已完结)(2)Mybatis下的SQL注入审计(3)Hibernate下的SQL注入审计上期分享了JDBC下的注入审计,今天开始分享mybatis框架下的SQL注入审计。由于内容较多,本次分享分为上下两期,本期先来看看Mybatis环境搭建和路由讲解吧~Part.1SSM

    日期 2023-06-12 10:48:40     
  • 【JAVA代码审计】从零开始的Mybatis框架SQL注入审计(下)

    【JAVA代码审计】从零开始的Mybatis框架SQL注入审计(下)

    Hello,各位小伙伴大家好~这里是一名白帽的成长史~上期讲完了SSM框架的搭建和路由分析:【JAVA代码审计】从零开始的Mybatis框架SQL注入审计(上)今天一起来看看Mybatis的注入挖掘吧~Here we go ~Part.1SQL注入审计审计思路上期说到Mybatis的数据库执行操作都存在Mapper文件中,因此我们主要是在Mapper文件中进行漏洞挖掘。Mapper文件基本格式如下

    日期 2023-06-12 10:48:40     
  • JAVA代码审计之java反序列化

    JAVA代码审计之java反序列化

    一、漏洞原理 Serialization(序列化):将java对象以一连串的字节保存在磁盘文件中的过程,也可以说是保存java对象状态的过程。 deserialization(反序列化):将保存在磁盘文件中的java字节码重新转换成java对象称为反序列化。Java程序使用ObjectInputStream对象的readObject方法将反序列化数据转换为java对象。但当输入的反序列化的数据可

    日期 2023-06-12 10:48:40     
  • java代码审计之某办公oa

    java代码审计之某办公oa

    文章首发在:先知社区https://xz.aliyun.com/t/11993简介oasys是一个OA办公自动化系统,使用Maven进行项目管理,基于springboot框架开发的项目,mysql底层数据库,前端采用freemarker模板引擎,Bootstrap作为前端UI框架,集成了jpa、mybatis等框架。,源码可以访问链接下载:https://gitee.com/aaluoxiang/

    日期 2023-06-12 10:48:40     
  • Java代码审计之jspxcms审计

    Java代码审计之jspxcms审计

    文章首发于:奇安信攻防社区https://forum.butian.net/share/2068环境搭建源码:https://www.ujcms.com/uploads/jspxcms-9.0.0-release-src.zip下载之后解压然后用idea导入先创建数据库导入数据库文件然后导入源码然后配置好数据库连接加载maven依赖根据本地数据库版本情况 记得调整数据库依赖版本然后启动后台地址:h

    日期 2023-06-12 10:48:40     
  • Java代码审计5期优秀学员作业选登

    Java代码审计5期优秀学员作业选登

    文章来源 | MS08067 Java代码审计5期作业本文作者:River作业1需求1增加的代码(BankCustomer.java)(注释中区分了为了解决此需求而增加的代码)import java.text.SimpleDateFormat; import java.util.Date; public class BankCustomer extends BankCard implements

    日期 2023-06-12 10:48:40     
  • Java代码审计之-IO小记

    Java代码审计之-IO小记

    I/O(input/output)流,即输入输出流。定义在java.io包中。分类:1、字节流和字符流----数据单位不同2、输入流和输出流----传输方向不同3、节点流和处理流----功能不同节点流:也叫低级流,从一个特定的IO设备(如 磁盘)续写数据的流,只能直接连接数据源进行读写。处理流:高级流,对一个已经存在的节点流进行封装成流,通过封装后的流来实现流的读写能力,不会直接连接到实际的数据。

    日期 2023-06-12 10:48:40     
  • 【Java 代码审计入门-03】XSS 漏洞原理与实际案例介绍

    【Java 代码审计入门-03】XSS 漏洞原理与实际案例介绍

    目录目录0x00 写在前面0x01 前戏0x02 漏洞原理1、反射型2、储存型0x03 修复方案1、全局过滤器过滤2、使用工具类xssProtect3、commons.lang包0x04 实际案例(CVE-2018-19178)分析1、案例介绍2、案例搭建3、案例漏洞分析4、修复方案0x05 总结0x06 参考0x00 写在前面为什么会有这一些列的文章呢?因为我发现网上没有成系列的文章或者教程,基

    日期 2023-06-12 10:48:40     
  • 【Java 代码审计入门-01】审计前的准备

    【Java 代码审计入门-01】审计前的准备

    目录目录0x00 写在前面0x01 审计工具及环境0x02 基础知识1、包的命名规范2、servlet为什么要介绍 servlet?什么是 servlet?Servlet 生命周期0x03 总结0x04 参考0x00 写在前面为什么会有这一些列的文章呢?因为我发现网上没有成系列的文章或者教程,基本上是 Java 代码审计中某个点来阐述的,对于新人来说可能不是那么友好,加上本人也在学习 Java 审

    日期 2023-06-12 10:48:40     
  • Java 代码审计基础知识 — java反射机制

    Java 代码审计基础知识 — java反射机制

    目录目录0x01 什么是反射0x02 反射的用途0x03 反射的基本运用1、获取类对象2、获取类方法3、获取类成员变量0x04 不安全的反射0x05 结尾0x01 什么是反射反射 (Reflection) 是 Java 的特征之一,在C/C++中是没有反射的,反射的存在使得运行中的 Java 程序能够获取自身的信息,并且可以操作类或对象的内部属性。那么什么是反射呢?对此, Oracle 官方有着相

    日期 2023-06-12 10:48:40     
  • 【Java 代码审计入门-04】SSRF 漏洞原理与实际案例介绍

    【Java 代码审计入门-04】SSRF 漏洞原理与实际案例介绍

    目录目录0x00 写在前面0x01 前戏0x02 漏洞原理1、端口探测2、任意文件读取/下载0x03 修复方案0x04 实际案例(CVE-2019-9827)分析1、案例介绍2、案例搭建3、案例漏洞分析4、修复方案0x05 总结0x06 参考0x00 写在前面为什么会有这一些列的文章呢?因为我发现网上没有成系列的文章或者教程,基本上是 Java 代码审计中某个点来阐述的,对于新人来说可能不是那么友

    日期 2023-06-12 10:48:40     
  • 【Java 代码审计入门-05】RCE 漏洞原理与实际案例介绍

    【Java 代码审计入门-05】RCE 漏洞原理与实际案例介绍

    目录目录0x00 写在前面0x01 前戏0x02 漏洞原理1、RCE 漏洞的定义及原理2、RCE 漏洞可能出现的场景3、项目具体演示0x03 修复方案0x04 实际案例(CVE-2010-1871)分析1、案例介绍2、案例搭建3、案例漏洞分析4、修复方案0x05 总结0x06 参考0x00 写在前面为什么会有这一些列的文章呢?因为我发现网上没有成系列的文章或者教程,基本上是 Java 代码审计中某

    日期 2023-06-12 10:48:40     
  • 【Java 代码审计入门-06】文件包含漏洞原理与实际案例介绍

    【Java 代码审计入门-06】文件包含漏洞原理与实际案例介绍

    0x00 写在前面为什么会有这一些列的文章呢?因为我发现网上没有成系列的文章或者教程,基本上是 Java 代码审计中某个点来阐述的,对于新人来说可能不是那么友好,加上本人也在学习 Java 审计,想做个学习历程的记录和总结,因此有了本系列的文章。本系列的文章面向人群主要是拥有 Java 基本语法基础的朋友,系列文章的内容主要包括,审计环境介绍、SQL 漏洞原理与实际案例介绍、XSS 漏洞原理与实际

    日期 2023-06-12 10:48:40     
  • 编写Java自动化代码审计工具

    编写Java自动化代码审计工具

    项目要求::确定审计目标,开发扫描工具,自动化报告生成,集成等都在一起;检测以下漏洞类型:SQL注入漏洞跨站脚本攻击漏洞文件包含漏洞请注意,这只是一个示例,您可能需要对它进行修改以满足您自己的需求。以下是步骤:1. 确定审计目标在这个示例中,我们的目标是检测SQL注入漏洞、跨站脚本攻击漏洞和文件包含漏洞。2. 开发扫描工具为了实现扫描工具,我们将使用JavaParser库来解析Java代码,并使用

    日期 2023-06-12 10:48:40     
  • 小白从0开始学JAVA代码审计——审计前的准备

    小白从0开始学JAVA代码审计——审计前的准备

    我们用现成的JavaCodeAudit项目学习审计,它涵盖了一些常见的JAVA漏洞,还有工具和原理介绍,可以说专门为小白准备的,在这里感谢这位大佬的贡献,

    日期 2023-06-12 10:48:40     
  • 《JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE)

    《JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE)

    1.漏洞描述 XML外部实体注入漏洞,即XXE(XML External Entity),此漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。 2.

    日期 2023-06-12 10:48:40