java审计记录
文章平均质量分 91
E耳双S
这个作者很懒,什么都没留下…
展开
-
Java审计——命令执行
命令执行一、什么是命令执行 命令执行(Command Injection)指在某些开发需求中,需要引入对系统本地命令的支持来完成某些特定的功能。当开发未对用户传入的参数进行严格的校验、过滤时,则很有可能会产生命令注入。攻击者使用命令注入来执行系统终端命令,直接获取服务器控制权限。 在开发过程中,开发人员可能需要对文件进行新建、移动、修原创 2021-08-10 20:11:34 · 482 阅读 · 0 评论 -
Java审计之SQL注入
Java审计之SQL注入一、什么是SQL注入定义 SQL是操作数据库数据的结构化查询语言,web应用程序的应用数据与后台数据库中的数据产生交互时会采用SQL。而SQL注入(SQL Injection)是当开发未对web应用程序用户可控输入的参数、web表单、cookie等(即注入点)进行规范性校验、过滤和数据清洗,将用户输入的参数以拼接的方式带入了SQL语句中,造成了SQL注入的产生。攻击者通过构造特殊的payload,后端程序以拼接的方式将payload带入SQL语句中,数据库执行拼接的SQL,原创 2021-08-06 19:14:46 · 687 阅读 · 1 评论