![](https://img-blog.csdnimg.cn/20210121090752959.jpg?x-oss-process=image/resize,m_fixed,h_224,w_224)
JAVA
文章平均质量分 96
java项目,实例,审计
隐秘且伟大
无
展开
-
Java代码审计手册(3)
此文为转载翻译文章(可能会出现错误)目录动态JSP包含(JSP_INCLUDE)Spring表达式中的动态变量(JSP_SPRING_EVAL)禁用特殊XML字符的转义(JSP_JSTL_OUT)JSP中的潜在XSS(XSS_JSP_PRINT)Servlet中潜在的XSS(XSS_SERVLET)XMLDecoder用法(XML_DECODER)静态IV(STATIC_IV)ECB模式不安全(ECB_MODE)密码易受Oracle填充(PADDING_ORACLE)没有完整性的密.转载 2020-12-23 15:58:14 · 3317 阅读 · 0 评论 -
Java代码审计手册(2)
此文为翻译文章(可能会出现错误),由于原地址被打入xss,所以保存留记录目录潜在的XPath注入(XPATH_INJECTION)找到Struts 1端点(STRUTS1_ENDPOINT)找到Struts 2端点(STRUTS2_ENDPOINT)找到了Spring端点(SPRING_ENDPOINT)禁用Spring CSRF保护(SPRING_CSRF_PROTECTION_DISABLED)Spring CSRF无限制请求映射(SPRING_CSRF_UNRESTRICTED_RE.转载 2020-12-23 15:57:01 · 1875 阅读 · 0 评论 -
Java代码审计手册(1)
此文为翻译文章,由于原地址被打入xxs,所以保存留记录目录可预测的伪随机数生成器(PREDICTABLE_RANDOM)可预测的伪随机数生成器(Scala)(PREDICTABLE_RANDOM_SCALA)不受信任的servlet参数(SERVLET_PARAMETER)不受信任的Content-Type标头(SERVLET_CONTENT_TYPE)不受信任的主机名标头(SERVLET_SERVER_NAME)不受信任的会话Cookie值(SERVLET_SESSION_ID)不受信.转载 2020-12-23 15:49:00 · 4649 阅读 · 0 评论