Java.代码审计.SSRF

已于 2023-02-18 12:56:16 修改
阅读量68 收藏 1
点赞数 1
分类专栏: 网络安全 代码审计 文章标签: 安全
于 2023-02-18 11:47:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34012951/article/details/129098485
版权
文章详细描述了在不同库(如okhttp、net.URL和apach.http.)中发现的URL未校验的安全问题,以及如何尝试复现这些外部请求的成功,揭示了可能存在的安全风险,包括任意文件包含和重定向问题。
摘要由CSDN通过智能技术生成

A

1.搜索关键特征 okhttp

2、进入相关文件,没有对传递的url进行限制。

 3、尝试复现,获取外部请求的响应结果

B

1、搜索关键字:net.URL

2、进入相关文件,发现没有对url进行校验

 3、尝试复现,外部请求成功。 

C

1、搜索关键特征:apach.http.

2、进入文件查看,发现url 未校验

 3、进行复现

D

1、搜索关键字如下

2、打开文件,查看请求的参数url是否进行校验

 3、url未校验,进行复现。

E

1、搜索关键特征 

2、存在任意文件包含,url重定向

3、复现

 

 

Jaymin@gzm
关注
专栏目录
Java代码审计SSRF篇
大河之犬的博客
04-02 1302
SSRF(Server-Side Request Forge,服务端请求伪造)是目前在大型站点中出现频率较高的漏洞,这种漏洞通常是由攻击者构造的 payload 传递给服务端,服务端对传回的 payload 未做处理直接执行而造成的。一般情况下,攻击者无法访问攻击目标的内网,SSRF 是攻击者访问内网的凭借之一,因为 SSRF 攻击是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统。
Java代码审计SSRF
网络安全从业者的学习笔记
02-27 1330
SSRF(Server-Side Request Forge, 服务端请求伪造) ,即攻击者构造恶意参数使服务端对其它内/外网系统进行访问或者攻击的一种方式。
javaSSRF代码审计
weixin_45653478的博客
06-24 599
HttpURLConnection 是 URLConnection 的子类, 用来实现基于 HTTP URL 的请求、响应功能,每个 HttpURLConnection 实例都可用于生成单个网络请求,支持GET、POST、PUT、DELETE等方式。在调用 URL.openConnection() 获取 URLConnection 实例的时候,真实的网络连接实 际上并没有建立,只有在调用 URLConnection.connect() 方法后才会建立连接。//htmlContent添加到html里面。
java代码审计SSRF
糖小喵
05-09 1214
概述 SSRF 形成的原因大都是由于代码中提供了从其他服务器应用获取数据的功能但没有对目标地址做过滤与限 制。比如从指定 URL 链接获取图片、下载等。 漏洞示例 此处以 HttpURLConnection 为例,示例代码片段如下: String url = request.getParameter("picurl"); StringBuffer response = new StringBuffer(); URL pic = new URL(url); HttpURLConnection con
Java代码审计ssrf基础
m0_55772907的博客
11-15 707
代码审计
Java代码审计工程师 视频教程 下载 百度网盘链接2.zip
06-19
├─20.实验课程作业 │ 10_业务逻辑漏洞.pdf │ 11_SQL注入漏洞.pdf │ 12_文件上传&目录遍历漏洞.pdf │ 13_命令执行(代码执行).pdf ...代码审计及SDL岗位面试总结.pdf 9.XSS漏洞审计.pdf
Java代码审计工程师 视频教程 下载 百度网盘链接4.zip
06-19
├─20.实验课程作业 │ 10_业务逻辑漏洞.pdf │ 11_SQL注入漏洞.pdf │ 12_文件上传&目录遍历漏洞.pdf │ 13_命令执行(代码执行).pdf ...代码审计及SDL岗位面试总结.pdf 9.XSS漏洞审计.pdf
完整的Java代码审计学习笔记资源(免费下载)
10-31
java代码审计-ssrf.md 第一的 4年前 java代码审计-ssti.md 第一的 4年前 java代码审计-xss.md 第一的 4年前 java代码审计-xxe.md 第一的 4年前 java代码审计-反序列化.md 添加一些关于 jndi 的内容 3年前 java代码...
AI在医学领域:医学AI的安全与隐私全面概述
声纹感知 洞察芯声
09-12 1340
本文通过系统化地检查医疗应用领域并为未来的攻击研究奠定基础,提供一个医疗领域AI攻击研究的全面视角。
第146天:内网安全-Web权限维持&各语言内存马&Servlet-api类&Spring类&Agent类
weixin_71529930的博客
09-10 1013
然后访问http://ip/,这里会卡住,把之前创建的index文件会被删除,后面的页面是我访问的缓存,同时会产生一个.HH.php文件,这个文件是linux的隐藏文件,但是不知为何,我linux搭建的访问不了,只能这样演示。在我去删除的时候,他又会立刻去创建出来,甚至在我鼠标右键的时候因为这个文件不断地创建,右键页面也不能打开,从时间也可以看出来这个文件,在一直的刷新。后面换成了小迪视频里面的冰蝎版本,视频中问题是木马不能再Upload目录下,这里我试了也不行,所以这个还是有很多的bug的。
SSHamble:一款针对SSH技术安全的研究与分析工具
FreeBuf_的博客
09-11 1112
SSHamble是一款功能强大的SSH技术安全分析与研究工具,该工具基于Go语言开发,可以帮助广大研究人员更好地分析SSH相关的安全技术与缺陷问题。
无限边界:现代整合安全如何保护云
最新发布
网络研究观
09-15 627
通过工具之间更有效的数据共享,整合的安全平台还应提供更紧密的安全集成以及更强的系统可视性(无论是在云端还是在本地),让您能够看到无限周界的边缘。
伙房食堂电气安全新挑战:油烟潮湿环境下,如何筑起电气火灾“防火墙”?
acrel002的博客
09-12 469
安科瑞的智能安全配电装置打破了传统用电防护领域中仅仅只能做到“事后处理”的技术瓶颈,提前将配电转换安全电,从源头抑制电弧火花的产生,大大降低火灾风险,同时系统实时监测电气线路中电压、电流、功率、温度、剩余(漏)电流、对地绝缘阻值等关键数据,智能识别电路异常风险,及时将报警信息传送至云管理系统,提醒用户单位及时进行故障排查。近几年,随着我国经济的飞速发展,食堂餐饮也经历了一场变革,越来越多的电器走进了伙房食堂中,实现了电气化,为人们提供了高效便利的饮食服务,但同时也增加了火灾负荷。
3.比 HTTP 更安全的 HTTPS(工作原理理解、非对称加密理解、证书理解)
weixin_52173250的博客
09-07 1728
HTTPS(Hypertext Transfer Protocol Secure)是一种安全的超文本传输协议,主要用于在客户端和服务器之间安全地传输数据
消防指挥中心控制台:守护安全的关键枢纽
JiaDeLi_console的博客
09-11 443
它不仅是信息的接收者,更是行动的发起者,协调各方资源,确保消防救援工作高效、有序地进行。消防指挥中心控制台是消防救援工作的关键环节,它以先进的设计、强大的功能和不断升级的科技,为守护人民生命财产安全发挥着不可替代的作用。在未来,随着科技的进一步发展,相信消防指挥中心控制台将变得更加智能、高效,为构建更加安全的社会环境贡献更大的力量。同时,控制台还配备了舒适的座椅,为指挥人员提供良好的工作条件。在消防应急救援的战场上,嘉德立消防指挥中心控制台犹如一座坚实的堡垒,发挥着至关重要的作用。二、先进的设计与功能。
稀土阻燃剂:电子设备的安全守护者
Kingcela1的博客
09-11 631
稀土阻燃剂在电子设备中的应用主要是通过提升材料的阻燃性能、热稳定性和环保安全性,来满足现代电子产品对高性能和安全性的需求。随着技术的不断进步,稀土阻燃剂在电子设备领域的应用前景将会更加广阔。
信刻光盘安全隔离与信息交换系统
cdprinter的博客
09-11 396
信刻按需研制的光盘安全隔离与信息交换系统,应用不同等级网络之间进行可靠、高效的安全数据交换,实现A网-B网,B网-A网双向摆渡。集数据自动摆渡、用户管理、日志管理、加密及杀毒、数据检查与过滤、校验、安全审计等功能于一体。
企业应该如何安全上网,软件防查盗版,企业防盗版
cnsinda_htt的博客
09-12 501
SPN(Sandbox Proxy Network)反向沙盒安全上网解决方案,是直接把终端传统外网物理断开,然后在内网中部署一个沙盒安全上网网关主机,在需要访问外网的终端上安装一个沙盒,当需要访问互联网的时候,在这个隔离沙盒内访问互联网。当需要访问互联网时,用户可以在这个隔离沙盒内进行操作,确保主机本机和互联网物理隔离,只有沙盒能访问互联网,而沙盒和本机是完全隔离的。SPN沙盒安全上网解决方案为企业提供了一个安全、可靠的上网环境,帮助企业在信息化时代有效应对各种网络安全威胁,保障企业的核心数据和信息安全
通达OA系统代码审计:XSS与SSRF漏洞及防范措施
总结来说,这份审计文档强调了在大型项目中代码审计的重要性,特别是关注XSS、SSRF和SQL注入等常见的Web应用程序安全威胁,并提供了如何识别和修复这些问题的具体示例。阅读这份文档有助于开发者理解和提升应用的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值