Java常见漏洞及防护

最新推荐文章于 2024-06-24 14:19:09 发布
最新推荐文章于 2024-06-24 14:19:09 发布
阅读量4.2k 收藏 2
点赞数 1
分类专栏: java

https://tttang.com/archive/1243/
0x01 任意文件下载(路径穿越)

0x02 任意文件上传

当JAVA中间件收到访问web应用目录中的jsp文件请求时,会将对应的jsp文件编译为class文件并执行

0x00-0xff截断
可使用以下代码进行文件上传00截断测试:

import java.io.File;

public class Main{
public static void main(String[] args) {
    String java_version = System.getProperty("java.version");

    new File(java_version).mkdirs();

    String filename = "a.jsp#a.jpg";
    for(int i=0; i<=0xff; i++) {
        String filename_replace = java_version + "/" + i + "-" + filename.replace('#', (char)i);
        File f = new File(filename_replace);
        try {
            f.createNewFile();
        } catch (Exception e) {
            System.out.println("error: " + i);
            e.printStackTrace();
        }
    }
}
}

Windows:
java version “1.8.0_181”
执行之后,发现命令行如下,在Windows平台会调用Windows的Native方法:java.io.WinNTFileSystem.createFileExclusively
在这里插入图片描述
在这里插入图片描述
只有58,也就是冒号“:”的ASCII码十进制,绕过了限制。
使用1.7.0_80执行的结果一样
在这里插入图片描述
在这里插入图片描述

caiqiiqi
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java路径问题最终解决方案之一.
10-09
Java路径问题最终解决方案之一Java路径问题最终解决方案之一
【悟空云课堂】第五期:OS命令注入漏洞
Tianqi_Wukong的博客
05-12 473
该栏目为中科天齐软件安全中心全新规划的悟空云课堂,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。 更多资讯请关注公众号“中科天齐软件安全中心”(id:woocoom) 本期主题为OS命令注入漏洞的相关介绍。 01 什么是OS命令注入? 软件在构造OS命令时使用了外部输入的数据,如果没有对外部输入中可能影响OS命令的特殊元素进行过滤,或是过滤不充分/不正确,就有受到OS命令注入攻击的风险。 OS命令注入缺陷允许攻击者直接在操作系统执行各种命令,当缺陷存在于网页应用等无法直接.
漏洞防范与应对:从发现到修复的全攻略】JAVA JMX agent不安全的配置漏洞【原理扫描】漏洞 ,处理过程详解!!!
最新发布
大唐有趣的小胡.
06-24 531
本文揭露了一个高危漏洞——JAVA JMX agent的不安全配置问题。该问题表现为远程主机上的JMX代理缺乏SSL客户端和密码认证,使得未经认证的攻击者能连接并管理相关Java应用,甚至执行任意代码。此漏洞严重威胁了启用了JMX代理的Java应用的安全性。为解决此问题,文章提出了三项关键措施:首先,必须开启认证机制;其次,应限制可访问JMX服务的IP地址;最后,若JMX服务非核心需求,可考虑直接关闭该功能,以彻底消除安全隐患。
ref:关于JAVA中一些安全漏洞示例说明及如何规避方法代码示例总结分享
蝉之洞
10-22 1738
ref:http://www.xwood.net/_site_domain_/_root/5870/5874/t_c268166.html 标签:安全,漏洞,健壮,java,SQL注入,SS及CSRF,命令注入,线程安全 发布时间:2017-09-16 一、前言 这边通过工作整理一些常见安全漏洞及解决方法,主要涉及有:框架低版本漏洞、空指针的引用、整数溢出、命令注入、SQL注入、XSS及CSRF、跳转漏洞、HTTP Response Splitting漏洞、路径可控制及代码注入、资源泄露...
Java防御目录穿越漏洞方法_防御路径穿越攻击的最佳方法是什么?
weixin_36467048的博客
03-01 2296
我有一个Java服务器实现(TFTP,如果你很重要),我想确保它不容易受到路径遍历攻击,允许访问文件和应该不可用的位置。防御路径穿越攻击的最佳方法是什么?在迄今为止卫冕我的最好的尝试是拒绝匹配File.isAbsolute()然后依靠File.getCanonicalPath()解决任何../和./组件出路径的任何条目。最后,我确保生成的路径仍在我的服务器所需的根目录中:public String...
Java开发常见漏洞及解决方案
ZHANGLIZENG的博客
01-11 5890
Java开发常见漏洞及解决方案
java开发常见漏洞及处理说明.pdf
11-25
以下是对这些常见漏洞的详细说明及其防范措施: 1. SQL注入(SQL Injection) SQL注入是一种常见的安全漏洞,攻击者通过在输入字段中插入恶意SQL语句,欺骗服务器执行非预期的操作。例如,攻击者可能试图获取...
java开发常见漏洞及处理说明.doc
10-07
本文档主要探讨了Java Web应用程序中常见的三种安全漏洞:SQL注入、XSS攻击(包括DOM XSS、 Stored XSS、Reflected XSS),并提供了相应的防护策略。 ### 一、SQL注入 SQL注入是通过恶意构造SQL语句来获取、修改、...
编码漏洞防护方案.pdf
05-04
本文主要关注常见的编码漏洞以及对应的防护方案,尤其针对Web开发中的安全问题。以下是一些关键知识点的详细说明: 1. **SQL注入**:这是由于对用户输入的不当验证,使得攻击者能够构造恶意SQL语句,从而获取或篡改...
java开发常见漏洞及处理说明收集.pdf
11-04
总结,Java开发者必须重视安全问题,通过合理的编程实践和使用安全框架,能够有效地预防和处理上述常见的安全漏洞,确保应用程序的稳定和用户数据的安全。在实际开发中,应结合代码审计、安全测试和持续的安全教育,...
Java安全知识点详解:加密、认证、防护漏洞扫描
06-19
Java安全涉及多个方面,包括加密和解密、安全认证和授权、安全通信和防护,以及安全漏洞扫描。本文将深入探讨这些关键知识点。 首先,加密和解密是信息安全的基础。对称加密,如DES和AES,使用相同的密钥进行加解密...
java jmx agent不安全的配置漏洞如何改进(由浅入深代码范例和详细说明).docx
06-16
java jmx agent不安全的配置漏洞如何改进(由浅入深代码范例和详细说明).docx
路径穿越攻击路径整理
weixin_34389926的博客
06-21 9580
../../../WEB-INF/web.xml 转载于:https://www.cnblogs.com/AtesetEnginner/p/11064279.html
Java防御路径操作(Path Manipulation) 的正确姿势
oscar999的专栏
01-11 6599
本篇介绍在 Java应用中如何防御路径操作(Path Manipulation)的攻击。
Java】代码中的安全漏洞解决合集(更新中)
纯码农的博客
03-01 1240
汝之观览,吾之幸也!本文主要讲解Java的一些安全漏洞,并且给出浅知的解决方案。
Java代码审计:XXE漏洞
god_Zeo的安全博客
08-19 1054
0x00 前提 Java 代码审计自学:主要自己一个人学习,有点闭门造车,搜索引擎学习法,但是还是记录一下,也分享一下,也便于将来的总结和反思,如果我能终能学到什么,我也会重新梳理思路,为那些自学者提供一个好的思路,所以有了下面的系列文章java代码审计自学篇。 0x01 XXE漏洞简介 XXE(XML外部实体注入,XML External Entity) ,在应用程序解析XML输入时,当允许引用外部实体时,可构造恶意内容,导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等
代码审计[java安全编程]
0x00的博客
06-27 8765
SQL注入 介绍 注入攻击的本质,是程序把用户输入的数据当做代码执行。这里有两个关键条件,第一是用户能够控制输入;第二是用户输入的数据被拼接到要执行的代码中从而被执行。sql注入漏洞则是程序将用户输入数据拼接到了sql语句中,从而攻击者即可构造、改变sql语义从而进行攻击。 漏洞示例一:直接通过拼接sql @RequestMapping("/SqlInjection/{id}") public...
Java路径问题最终解决方案
Cedar's Columnists
01-22 552
 Java路径问题最终解决方案(转)前言Java的路径问题,非常难搞。最近的工作涉及到创建和读取文件的工作,这里我就给大家彻底得解决Java路径问题。我编写了一个方法,比ClassLoader.getResource(String相对路径)方法的能力更强。它可以接受“../”这样的参数,允许我们用相对路径来定位classpath外面的资源。这样,我们就可以使用相对于cl
Java代码漏洞检测-常见漏洞与修复建议
晨港飞燕的专栏
11-19 6415
在工作中,我们的交付团队在交付项目时,可能会遇到甲方会使用一些第三方工具(奇安信等)对项目代码进行扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银行、金融等。他们会在项目上线前进行代码安全检测,通过了对方才会发布上线。原文链接:https://blog.csdn.net/qq_39560975/article/details/131956264。
Java安全漏洞修复指南:从SQL注入到XSS防护
"Java语言安全漏洞修复指引V1.0" 是一份针对Java开发中的安全问题的详细指南,旨在帮助开发者识别并修复各种安全漏洞,...通过这份指南,Java开发人员可以提高对常见安全漏洞的认识,从而编写出更健壮、更安全的代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值