代码审计指南(脱敏重新发) - Github开源Java项目

已于 2024-09-26 15:37:59 修改
阅读量486 收藏 6
点赞数 4
分类专栏: 个人阅读 文章标签: 安全
于 2024-09-26 15:26:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lucker_YYY/article/details/142557977
版权

初入代码审计的师傅,苦于寻找开源的项目练练手,这里就结合Github上的开源项目进行简单审计,方便师傅们跟随步骤学习思路。开源挖洞思路仅供参考,不得使用漏洞于非法用途。

kvf-admin代码审计

挑选Java语言开发的开源Github项目来代码审计,第一个是kvf-admin

图片

项目地址:https://github.com/kalvinGit/kvf-admin?tab=readme-ov-file

Java后端启动后台之后的登录页面如下:

图片

任意文件上传

登录后台,在资本资料 - 用户头像处可以上传人员文件,此处没有限制格式和内容

图片

对应的调用的方法为fileUpload

图片

图片

上传没有过滤文件后缀和内容

直接上传获取路径,数据包如下:

POST /common/fileUpload HTTP/1.1Accept: application/json, text/javascript, */*; q=0.01Accept-Encoding: gzip, deflate, br, zstdAccept-Language: zh-CN,zh;q=0.9Connection: keep-aliveContent-Length: 703477Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryHpqxuxq5RM32xO3VCookie: JSESSIONID=2648996e-59d9-4a81-8562-66e136334abb; rememberMe=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
最低0.47元/天 解锁文章
Lucker_YYY
关注
专栏目录
大语言模型应用指南:从人工智能的起源到大语言模型
AI天才研究院
06-27 1002
人工智能(Artificial Intelligence,AI)自诞生以来,一直是计算机科学领域的重要研究方向。早期的AI系统主要依赖于专家知识和规则库,通过逻辑推理和符号计算来解决问题。然而,这种基于规则的系统在处理复杂和多变的现实世界时,表现出了明显的局限性。随着数据量的爆炸式增长和计算能力的提升,研究者们开始探索基于数据驱动的机器学习方法,尤其是深度学习(Deep Learning),从而引了AI领域的革命性进展。
边缘计算与端侧推理原理与代码实战案例讲解【系列文章】
AI天才研究院
07-04 1741
在当今数字化时代,随着物联网(IoT)设备的普及和人工智能技术的快速展,传统的云计算模式面临着诸多挑战。数据传输延迟、网络带宽压力、隐私安全concerns等问题日益突出。为了解决这些问题,边缘计算和端侧推理技术应运而生,成为了现代计算架构中不可或缺的组成部分。边缘计算将计算能力下沉到靠近数据源的网络边缘,而端侧推理则直接在终端设备上进行AI模型的推理。这两种技术的结合不仅能够大幅降低数据传输延迟,提高实时性能,还能有效保护用户隐私,优化网络资源使用。
对网站的开源代码进行审计
dichu8371的博客
10-12 323
0x00 前言 @0r3ak 师傅向我推荐了一款代码审计工具Cobra(wufeifei/cobra),该工具基于Python开,可以针对多种语言的源代码安全性评估。 在测试的过程中,总是不得要领,有一些问题不知道怎么解决,都是又很想了解下这款项目的实现原理。 在这一系列的笔记中,将会记录下对 Cobra 的使用体验,以及源码级的分析。 0x01 基础环境 Ubuntu 16...
浅析开源项目代码审计
xxx
10-02 1071
最近一段时间,在一个前端大佬那里了解到一个构建知识图谱的开源项目,激起了我的兴趣。我之前讨论过如何构建垂直搜索引擎,本质上也是想构建出独特的领域知识。这个开源项目是以这个开源项目为例,我将一步步剖析如何读懂一个开源项目,以及利用各种方法尽可能的去了解这个项目
代码审计指南 - Github开源Java项目
Lucker_YYY的博客
09-15 793
社区中包含有主要讲解系统化从基础入门到实战漏洞挖掘的教程,其中包含团队自整的挖掘注意点和案例。其中还包含分享的渗透经验、SRC漏洞案例、代码审计、挖洞思路等高价值资源。● 笔记主要根据漏洞原理,结合实战的漏洞案例,分析漏洞的挖掘方法和漏洞成因。历史笔记部分一览。
代码审计工具_小白代码审计开山篇
weixin_39832829的博客
12-06 192
最近小白一直在学习代码审计,对于我这个没有代码审计的菜鸟来说确实是一件无比艰难的事情。但是着恰恰应了一句老话:万事开头难。但是小白我会坚持下去。何况现在已经喜欢上了代码审计,下面呢小白就说一下appcms后台模板Getshell以及读取任意文件,影响的版本是2.0.101版本。其实这个版本已经不用了,小白也是拿这个来说一下自己理解的php的代码审计开源的CMS就是舒服,不仅可以对最新版的来做代码...
【转】开源代码审计工具备忘
CharlesPrince的专栏
04-07 3738
开源和非商业公司 2.3.1.1 .NET (C#, VB.NET and all .NET compatible languages) • Reflector.CodeMetrics — (an add-in for the essential Reflector)  • CCMetrics  • CRPlugin (plugin for DxCore)  • FxCop — Free
深入探讨基于RuoYi-Vue-v3.8.3的Java聚合项目实践
ruoyi聚合项目是一个开源的企业级快速开平台,它基于Java,整合了前后端分离架构。该项目以简洁、规范、高效、易扩展为目标,旨在为企业提供一套成熟、稳定、安全、易用的开框架,减少项目成本,提高...
AI系统架构原理与代码实战案例讲解
AI天才研究院
08-10 479
人工智能的概念可以追溯到上世纪50年代,图灵测试的提出标志着人工智能作为一门学科的诞生。早期的研究主要集中在符号推理、专家系统等领域,取得了一些突破,例如机器定理证明、西洋跳棋程序等。上世纪80年代,随着专家系统的兴起,人工智能进入了一个黄金时期。专家系统通过模拟人类专家的知识和经验进行推理和决策,在医疗诊断、故障诊断等领域取得了成功应用。进入90年代,由于计算能力的限制和数据量的不足,人工智能的展陷入低谷。近年来,随着深度学习技术的突破、大数据的兴起以及计算能力的提升,人工智能迎来了第三次展浪潮,在图
探秘 Rad:一款强大的源代码安全审计工具
gitblog_00018的博客
03-26 398
探秘 Rad:一款强大的源代码安全审计工具 去现同类优质开源项目:https://gitcode.com/ 是一个由 Chaitin Tech 开开源项目,它专注于源代码的安全审计和漏洞检测。Rad 利用先进的静态代码分析技术,帮助开者在软件开的早期阶段现潜在的安全问题,从而提升软件质量并降低风险。 技术分析 Rad 的核心是其独特的静态分析引擎,该引擎能够深入解析多种编程语言(包括但...
代码审计|基于某Java开源系统的代码审计
weixin_42282189的博客
09-17 2063
作者:不染 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x00 前言 本篇文章为Java代码审计入门的一篇文章,篇幅有限,很多漏洞没有审计覆盖,以后有时间再更新一个系列。 0x01 基础环境 1.1 技术框架 核心框架:SpringBoot 2.0.0 持久层框架:Mybatis 1.3.2 日志管理:Log4j 2.10.0 前端框架:Vue 2.6.10 UI框架: Ant-Design-Vue 1.5.2 模板框架: Jeecg-Boot 2.2.0 项目管理框架:.
代码审计
热门推荐
Sylon的博客
06-24 1万+
代码审计常用漏洞总结 1.1 审计方法总结 主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯: 跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑 可以是一个函数,或者是条小小的条件判断语句。 敏感函数参数回溯,根据敏感函数,逆向追踪参数传递的过程。这个方法是最高效,最常用 的方法。大多数漏...
等保2.0的自动代码审计开源治理解决方案
manok的专栏
08-23 2133
2016年10月10日,第五届全国信息安全等级保护技术大会召开,公安部网络安全保卫局郭启全总工指出:国家对网络安全等级保护制度提出了新的要求,标志着等级保护制度进入2.0时代。2017年5月,公安部布《网络安全等级保护定级指南》、《网络安全等级保护基本要求 第5部分:工业控制系统安全扩展要求》等4个行业标准,把等级保护上升为法律,等级保护的工作内容和保护对象持续扩展,尤其是对国家关键信...
代码安全审计工具推荐
煜铭2011
05-07 1万+
0×00 简介企业安全规划建设过程中,往往会涉及到开的代码安全,而更多可以实现落地的是源代码安全审计中,使用自动化工具代替人工漏洞挖掘,并且可以交付给研人员直接进行安全自查,同时也更符合SDL的原则,此外可以显著提高审计工作的效率。0×01 代码安全审计概述以下链接为当前比较热门的代码审计推荐文章,门类齐全,点评到位,很值得参考。http://www.freebuf.com/sec...
自动化代码审计工具
weixin_30756499的博客
07-14 3484
三款自动化代码审计工具 0×01 简介 工欲善其事,必先利其器。 在源代码的静态安全审计中,使用自动化工具代替人工漏洞挖掘,可以显著提高审计工作的效率。学会利用自动化代码审计工具,是每一个代码审计人员必备的能力。在学习PHP源代码审计的过程中,本人搜集使用了多款自动化工具。本文将简要介绍其中三款比较实用的工具:RIPS、VCG、Fortify SCA。 RIPS是一款开...
开源代码审计(开)利器—MYSQL执行监控工具
eagle89的专栏
06-05 4769
*这是一款MYSQL数据库SQL语句执行监视工具。这款工具可以更好的帮助你看Mysql数据库所执行的SQL语句!此款工具可以用于开者开之中或者代码审计的时候使用。查看在某个操作,所执行的SQL语句,从而进行定位操作。     *声明下这个软件的问题。这个软件是从Seay(法师)的源代码审计工具里面拿出来的。我本人并不是原创。只是在这软件的原来的基础上进行修改。开源是一种文化,一种精神。   本...
免费开源代码审计工具 Gosec 入门使用
Young的博客
02-02 1199
声明: 本教程是在自己的电脑上本地测试Gosec的效果,所以不涉及其他运行模式,如果想要了解其他模式可以关注后期文档,如果想要自定义交流自定义代码扫描规则,可以跟我交流沟通。 背景: Gosec是一个通过扫描Go AST来检查源代码是否存在安全问题的开源项目。公司到成长到一定程度,就需要对代码进行审计,针对Go的作为主要的开语言,我就测试一下Gosec的效果。 使用教程 要求 已经配置好Go的开环境 准备一个测试项目代码 步骤 1. 进入Go环境src目录下 执行命令:go get github.c
CTFHUB技能树之HTTP协议——响应包源代码
最新发布
weixin_73049307的博客
10-13 562
点击“开始”没有抓取到报文,先看看网页源代码是什么情况。居然直接给出flag了,不知道这题的意义何在。是个贪吃蛇小游戏,看不出来有什么特别的地方。
github最新java开源项目代码
06-06
以下是一些最近在GitHub上公布的Java开源项目代码: 1. Spring Boot Admin: 一个用于管理和监控Spring Boot应用程序的开源项目。 2. Micronaut: 一个用于构建高效的微服务应用程序的现代化Java框架。 3. Quarkus: 一个用于构建基于JVM的云原生应用程序的Java框架。 4. JHipster: 一个用于生成现代化Web应用程序的开源项目,基于Spring Boot和Angular或React。 5. Apache Dubbo: 一个高性能、轻量级的RPC框架,用于构建分布式应用程序。 这只是一小部分最新的Java开源项目GitHub上还有很多其他的项目值得探索。你可以在GitHub上浏览最新的Java开源项目,或者使用GitHub的搜索功能查找你感兴趣的项目
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值