java代码审计
文章平均质量分 88
mingzhi61
这个作者很懒,什么都没留下…
展开
-
Javaweb中jar包等第三方框架自动化审计
javaweb中会引用大量的第三方框架,你引用的第三方框架是否存在漏洞,用这款工具一扫便知。原创 2022-10-19 18:18:52 · 959 阅读 · 0 评论 -
Java代码审计审技巧及方法
本文详细讲解java代码审计技巧及方法,以及审计过程中数据流的流向原创 2022-10-17 15:34:47 · 1771 阅读 · 0 评论 -
JavaWeb代码审计,从框架到整套代码的审计
Java语言目前在所有开发语言中占比还是较高的,这是历尽大半年的时间开发出来的一套Java代码审计课程。本套课程更贴近真实商业代码审计,从框架到整套代码的审计进行讲解原创 2022-06-05 16:29:51 · 2823 阅读 · 3 评论 -
log4j代码审计及修复方法
log4j反序列化审计及修复本项目引入的Log4j版本为2.10.02.0\x26lt;log4j\x26lt;2.14.1 存在CVE-2021-44228漏https://mp.weixin.qq.com/s?__biz=MzI1ODY3MTA3Nw==&mid=2247484178&idx=1&sn=d66b1fd28928084917c81d4ec92ff6bb&chksm=ea05eb98dd72628e24e82d9c30038bb9db4286ad54a1e14原创 2022-04-06 22:10:39 · 1428 阅读 · 0 评论 -
SpringMVC中的安全知识
Spring MVC 是 Spring 提供的一个基于 MVC 设计模式的轻量级 Web 开发框架,本质上相当于 Servlet。Spring MVC 是结构最清晰的 Servlet+JSP+JavaBean 的实现,是一个典型的教科书式的 MVC 构架,不像 Struts 等其它框架都是变种或者不是完全基于 MVC 系统的框架。Spring MVC配置Spring MVC 是基于 Servlet 的,DispatcherServlet 是整个 Spring MVC 框架的核心,主要负责截获原创 2022-04-05 21:24:14 · 401 阅读 · 0 评论 -
什么是耦合、紧耦合、松耦合
一、耦合 耦合是两个或多个模块之间的相互关联。在软件工程中,两个模块之间的耦合度越高,维护成本越高。因此,在系统架构的设计过程中,应减少各个模块之间的耦合度,以提高应用的可维护性。二、紧耦合 紧耦合架构本质是Client/Server的模型,如下图所示:优点是:架构简单、设计简单、开发周期短、能够快速的开发、投入、部署、应用。 但随着集群规模的扩大,系统的稳定性逐渐变差,主要原因如下: 1、同步操作导致对网络资源消耗大。同步操作在数据发送和数据返回之间,有很大一段是空闲的,这种空闲占用是对网络资原创 2022-04-03 17:22:02 · 18658 阅读 · 0 评论 -
Fastjson反序列化审计及验证
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634Fastjson反序列化代码审计本项目引入的Fastjson版本为1.2.58,该版本存在反序列化漏洞。已确定了Fastjson版本存在问题,进一步寻找触发Fastjson的漏洞点。我们关注两个函数JSON.parse()和JSON.parseObject(),并且执.原创 2022-04-02 21:23:13 · 1650 阅读 · 0 评论 -
Java中SQL注入审计及修复
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634sql注入漏洞原理:在常见的web漏洞中,SQL注入漏洞较为常见,危害也较大。攻击者一旦利用系统中存在的SQL注入漏洞来发起攻击,在条件允许的情况下,不仅可以获取整站数据,还可通过进一步的渗透来获取服务器权限,从而进入内网。注入攻击的本质,是把用户输入的数据当做代码执行。这里原创 2022-03-28 21:57:58 · 856 阅读 · 0 评论 -
Java代码审计之URL重定向
Java代码审计之URL重定向url重定向URLRedirect url重定向漏洞也称url任意跳转漏洞,网站信任了用户的输入导致恶意https://mp.weixin.qq.com/s?__biz=MzI1ODY3MTA3Nw==&mid=2247484100&idx=1&sn=50473ea6eb61f836f645d1e024ce0899&chksm=ea05ea4edd7263584975705d5fd3a3467d61a0ff2d4469fbdcdcd0aa84b4原创 2022-03-25 22:01:06 · 6696 阅读 · 0 评论 -
Java代码审计之xss审计
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。反射型xss为了让我们方便理解,作者这里没有使用其他花里胡哨的html页面@RequestMapping("/reflect")@Re原创 2022-03-16 21:56:58 · 518 阅读 · 2 评论 -
Java代码审计之命令执行
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634命令执行(CommandInject)codeinject访问url为http://localhost:8080/codeinject?filepath=src%26%26ipconfig获取一个参数filepath,然后通过ProcessBuilder将数组cmdList原创 2022-03-13 17:59:33 · 2320 阅读 · 0 评论 -
Java代码审计之FileUpload-文件上传漏洞审计与修复
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634访问url为http://localhost:8080/file/any直接对上传的文件保存在了指定路径下,@PostMapping("/upload")public String singleFileUpload(@RequestParam("file") Multi原创 2022-03-11 17:31:09 · 6252 阅读 · 0 评论 -
Java代码审计之路径遍历
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634路径遍历漏洞代码/PathTraversal第一个访问url为windows: c:\boot.ini (系统版本)linux:http://localhost:8080/path_traversal/vul?filepath=../../../../../etc/pa原创 2022-03-09 19:17:59 · 1806 阅读 · 0 评论 -
Java代码审计之RCE(远程命令执行)
Java代码审计系列课程(点我哦)漏洞原理:RCE漏洞,可让攻击者直接向后台服务器远程注入操做系统命令或者代码,从而控制后台系统。出现此类漏洞通常由于应用系统从设计上须要给用户提供指定的远程命令操做的接口。通常会给用户提供一个ping操做的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 而若是设计者在完成该功能时,没有作严格的安全控制,则可能会致使攻击者经过该接口提交“意想不到”的命令,从而让后台进行执行,从而控制整个后台服务器runti原创 2022-03-02 22:38:47 · 6092 阅读 · 5 评论 -
JavaWeb的三层架构及MVC模式
Java代码审计系列课程java 三层架构:数据访问层、业务逻辑层、表现层业务层-----一般不变的,主要是一些算法逻辑,用了策略模式,用了反射技术使得它的变化相对稳定。(规则制定)~业务(Business)或叫商务持久层-----存储数据的,存储数据可能会由xml配置文件更改为数据库.视图层------显示界面的,显示界面可能有c/s 更改为 b/s.一、 持久层(Data Access Layer DAL 数据访问层)采用DAO模式。 建立实体类和数据库表映射(ORM映射)。也就是哪个原创 2022-03-01 17:18:54 · 4188 阅读 · 0 评论 -
Java代码审计之JDBC中的sql注入
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634漏洞原理:在常见的web漏洞中,SQL注入漏洞较为常见,危害也较大。攻击者一旦利用系统中存在的SQL注入漏洞来发起攻击,在条件允许的情况下,不仅可以获取整站数据,还可通过进一步的渗透来获取服务器权限,从而进入内网。注入攻击的本质,是把用户输入的数据当做代码执行。这里有两个关键条原创 2022-02-27 15:49:34 · 556 阅读 · 0 评论 -
Mybatis在Java代码审计中的审计方法及修复方法
Java代码审计系列课程【共58课时】_Web安全课程-51CTO学堂Java代码审计系列课程,Web安全,学会改课程将更深刻的了解常见漏洞原理,审计发现代码中漏洞,开发人员不再编写“漏洞”,51CTO学堂为您提供全面的视频课程和专项解答,it人充电,就上51CTO学堂https://edu.51cto.com/course/27875.html前置知识:了解Mybatis框架映射关系mapper定位java代码id定位方法List<User> findByUserName原创 2022-02-27 15:48:33 · 622 阅读 · 0 评论 -
java代码审计之浅谈Java反序列化漏洞修复方案
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634概述序列化是让 Java 对象脱离 Java 运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。Java程序使用ObjectInputStream对象的readObject方法将反序列化数据转换为java对象。但当输入的反序列化的数据可被用户控制,那么攻击者即原创 2022-02-19 16:20:45 · 4120 阅读 · 0 评论 -
JAVA代码审计之SSRF漏洞
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634概述SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部服务器系统原创 2022-02-18 21:50:49 · 2308 阅读 · 0 评论 -
JAVA代码审计与安全编码
JAVA安全编码与代码审计java代码审计系列视频课程概述本文重点介绍JAVA安全编码与代码审计基础知识,会以漏洞及安全编码示例的方式介绍JAVA代码中常见Web漏洞的形成及相应的修复方案,同时对一些常见的漏洞函数进行例举。XXE介绍XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。文档类型定义(DTD)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。内部声明DTD:引用外部DTD:当允许引用外部实体时,恶原创 2022-02-17 17:36:02 · 588 阅读 · 0 评论 -
信息安全这两年火了,我们来看看为啥这么火!
随着国家对信息安全的重视,信息安全技术人才缺口也越来越大,可能5年前信息安全还是小众行业,不过5年后一定是大家都熟悉的行业,网络已经是大家每天不可缺少的东西,如果你不懂里面的安全,那你的工作生活肯定会受到影响。为什么说信息安全火,那么首先他是国家的战略:“没有网络安全,就没有国家安全”如果只是国家出来喊一喊,没有工作给大家提供那肯定是不行的,下面我们来看一下2018年boss直聘做的统...原创 2019-08-13 21:44:48 · 411 阅读 · 0 评论 -
java web安全代码审计
针对javaweb系统进行全方位的分析,分析其代码中的安全问题,发现编码过程中存在漏洞及风险,并给出修复建议,下图是课程大纲,百度链接为免费试看课程哦。我的欢迎加微信撩我:HackMan2试听课程:链接:https://pan.baidu.com/s/1T-cNBPmhepq81TLDPj663A 提取码:shu5...原创 2019-07-17 14:41:03 · 439 阅读 · 0 评论