代码审计技巧:漏洞及关键词

最新推荐文章于 2023-08-18 11:01:38 发布
最新推荐文章于 2023-08-18 11:01:38 发布
阅读量780 收藏 5
点赞数
分类专栏: 信息安全 python爬虫、可视化 java 文章标签: 代码审计 代码规范 漏洞验证 安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50712601/article/details/112528440
版权

漏洞名称:密码硬编码、密码明文存储
关键词查找:password 、pass、jdbc

漏洞名称:XSS
关键词查找:getParamter、<%=、param.

漏洞名称:SQL 注入
关键词查找:Select、Dao 、from 、delete 、update、insert

漏洞名称:任意文件下载
关键词查找:download 、fileName 、filePath、write、getFile、getWriter

漏洞名称: 任意文件删除
关键词查找:Delete、deleteFile、fileName 、filePath

漏洞名称: 文件上传
关键词查找:Upload、write、fileName 、filePath

漏洞名称:命令注入
关键词查找:getRuntime、exec、cmd、shell

漏洞名称: 缓冲区溢出
关键词查找:strcpy,strcat,scanf,memcpy,memmove,memeccpy
Getc(),fgetc(),getchar;read,printf

漏洞名称: XML 注入
关键词查找:DocumentBuilder、XMLStreamReader、SAXBuilder、SAXParser、SAXReader 、XMLReader、SAXSource 、TransformerFactory 、SAXTransformerFactory 、SchemaFactory

漏洞名称:反序列化漏洞
关键词查找:ObjectInputStream.readObject、ObjectInputStream.readUnshared、XMLDecoder.readObject、Yaml.load 、 XStream.fromXML 、 ObjectMapper.readValue 、JSON.parseObject

漏洞名称:url 跳转
关键词查找:sendRedirect、setHeader、forward

漏洞名称:不安全组件暴露
关键词查找:activity 、 Broadcast Receiver 、 Content Provider 、 Service 、inter-filter

漏洞名称:日志记录敏感信息
关键词查找: log log.info logger.info

漏洞名称:代码执行
关键词查找:eval、system、exec

具体可参考链接:https://blog.csdn.net/qq_41770175/article/details/93486383

惬意的下雨天
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Go代码审计:Gitea远程命令执行漏洞
02-24
这是本漏洞链的导火索,其出现在GitLFS的处理逻辑中。GitLFS是Git为大文件设置的存储容器,我们可以理解为,他将真正的文件存储在git仓库外,而git仓库中只存储了这个文件的索引(一个哈希值)。这样,gitobjects和.git文件夹下其实是没有这个文件的,这个文件储存在git服务器上。gitea作为一个git服务器,也提供了LFS功能。在modules/lfs/server.go文件中,PostHandler是POST请求的处理函数:可见,其中间部分包含对权限的检查:在没有权限的情况下,仅执行了requireAuth函数:这个函数做了两件事,一是写入WWW-Authenticate
代码审计-java项目-组件漏洞审计
xiaoheizi的博客
08-16 522
2.下载悟空CRM9.0源码:https://github.com/72wukong/72crm-9.0-JAVA。配合dnslog测试是否成功执行命令——传递的json数据:{"@type":"java.net.Inet4Address","val":"dnslog地址"}4.搜索fastjson组件产生过的历史漏洞,找到对应版本的漏洞,查看漏洞利用信息。-追踪过滤或接收的数据函数,寻找触发此函数或代码的地方进行触发测试。审计项目漏洞原理->审计思路->完整源码->应用框架->验证并利用漏洞
初识java代码审计——ofcms 1.1.4内容管理系统代码审计
Alexz__的博客
05-05 2916
目录 壹 ofcms环境搭建(避坑指南) 贰 从ofcms出发浅析javaweb项目目录结构及其功能 叁 CVE-2019-9614 SSTI模板注入漏洞 肆 任意文件上传漏洞 伍 存储型XSS漏洞 陆 后台SQL注入漏洞 壹 ofcms环境搭建(避坑指南) 四月底开始入手java代码审计,从一开始的一头雾水到现在博客总结,之间经历了许多,走过不少坑,虽然大四啥事儿都没有但是整个过程也还是压力比较大的 现在IDEA中以及没有java代码审计插件 Fi...
Java代码审计初探-JtopCMS文件上传漏洞(CNVD-2021-05471)
BlusKing
04-06 1961
原文发在freebuf:https://www.freebuf.com/vuls/267872.html 漏洞信息 CNVD-ID CNVD-2021-05471 公开日期 2021-02-26 危害级别 高 ([AV:N/AC:L/Au:N/C:C/I:C/A:C]) 影响产品 合肥明靖信息科技有限公司 JTopCMS 4.0.0 ..
JavaWeb代码审计实战之迷你天猫商城系统详细分析版,实战应用级系统的Log4j2shell代码审计
Power7089的博客
08-22 1945
JavaWeb代码审计实战之迷你天猫商城系统详细分析版,实战应用级系统的Log4j2shell代码审计
JAVA代码审计之SSRF
Jiajiazml的博客
09-23 2266
本文从漏洞原理、审计函数、漏洞危害、漏洞代码示例、实战案例、漏洞防御方式等几个方面介绍了SSRF漏洞攻击
Java代码审计案例及修复
12-22
Java代码审计案例及修复
PHP代码审计文档.zip
11-02
第11课:代码审计之CSRF漏洞mp4 第10课:代码审计之XSS漏洞mp4 第9课:代码审计之命令执行漏洞mp4 第8课:代码审计代码执行漏洞mp4 第7课:PHP代码审计宽字节注入及二次注入mp4 第6课:PHP代码审计SQL注入漏洞mp4 第5...
代码审计基础-漏洞银行大咖面对面2-SHIELD
07-31
代码审计基础-漏洞银行大咖面对面2-SHIELD
代码审计之若依系统
qq_44029310的博客
06-19 4570
若依是一套全部开源的快速开发平台,在日常工作中也会遇到很多若依搭建的网站,或者基于若依二开的网站,因为是以学习为目的,所以选择低版本下载,未选择最高版本,本文搭建版本是4.6.0版本,源码可以访问链接下载:https://gitee.com/y_project/RuoYi/releases。...
Java代码审计(7)Sql注入审计
划水的小白白
01-25 2384
1、基础 1.1 常见注入点 1.2 数据库特性 1.2.1 数据库特定表 1.2.2 注释符 1.2.3 数据库报错 1.2.4 MySQL 5.0 中information_schema表 1.3 SQL注入靶场 1.4 框架 2、JDBC初探 2.1 JDBC执行对象 2.2 Statement 2.3 PreparedStatement(预编译) 2.4 CallableStatement 3、Mybatis框架安全 3.1 MyBatis使用 3.1.1 MyBatis了解 3.1.2 MyBat
java代码审计之常见漏洞学习
最新发布
weixin_51725318的博客
08-18 337
java代码审计之常见漏洞学习
Java代码审计——fastjson 1.2.68 反序列化漏洞 FileOutputStream写文件
王嘟嘟的博客
03-25 7488
0x00 前言 反序列化总纲 主要是依赖Java代码审计——fastjson 1.2.68 反序列化漏洞 AutoCloseable 看了这个poc之后,就一直纠结,为啥只有openjdk >= 11才可以用,最后在调试+看了大部分文章之后才终于明白 0x01 环境 这里需要准备两个jdk,一个 1.8 一个11 0x02 环境约束 首先先来看一下Fastjson的构造参数选择: 通过createJavaBeanDeserializer进来 走到JavaBeanInfo.build 这里判断如果不
《JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE)
午夜观星河
04-22 4310
(3)@XmlElement:将Java对象的属性映射为xml的节点,在使用@XmlElement时,可通过name属性改变java对象属性在xml中显示的名称。(2)@XmlAccessorType:用于指定由Java对象生成xml文件时对Java对象属性的访问方式。(4)@XmlAttribute:将Java对象的属性映射为xml的属性,并且可通过name属性为生成的xml属性指定别名。(1)@XmlRootElement:用于类级别的注释,对应XML的根节点。
代码审计[java安全编程]
0x00的博客
06-27 8669
SQL注入 介绍 注入攻击的本质,是程序把用户输入的数据当做代码执行。这里有两个关键条件,第一是用户能够控制输入;第二是用户输入的数据被拼接到要执行的代码中从而被执行。sql注入漏洞则是程序将用户输入数据拼接到了sql语句中,从而攻击者即可构造、改变sql语义从而进行攻击。 漏洞示例一:直接通过拼接sql @RequestMapping("/SqlInjection/{id}") public...
Java代码审计——fastjson 1.2.68 反序列化漏洞 文件写入
王嘟嘟的博客
03-24 3513
0x00 前言 反序列化总纲 主要是依赖Java代码审计——fastjson 1.2.68 反序列化漏洞 AutoCloseable 还有就是Java代码审计——fastjson 1.2.68 反序列化漏洞 SafeFileOutputStream文件操作 0x01 环境 maven <dependency> <groupId>com.esotericsoftware</groupId> <artifa
代码审计(Java)——WebGoat_Xss
weixin_45260839的博客
08-16 627
代码审计(Java)——WebGoat_Xss
web.xml 中的listener、 filter、servlet 加载顺序及其详解
敲键盘的猫
06-11 461
网上查询了下web.xml中配置的加载优先级:         首先可以肯定的是,加载顺序与它们在 web.xml 文件中的先后顺序无关。即不会因为 filter 写在 listener 的前面而会先加载 filter。最终得出的结论是:listener -> filter -> servlet         同时还存在着这样一种配置节:context-param,它用于向 ServletC
梦里寻她千百度 | 新书预告:JAVA代码安全审计(入门篇)
Ms08067安全实验室
12-28 2203
近期很多读者询问关于《JAVA代码安全审计》一书的出版进展,统一回复下,目前新书《JAVA代码安全审计(入门篇)》11月底已经完成全部书稿并交付出版社,全书分为九章460页,共计...
简述代码审计过程:Pikachu靶场安装
04-03
代码审计是一种对软件代码进行全面分析、检测和评估的过程,以确定是否存在潜在的安全漏洞和错误。下面是Pikachu靶场的安装过程。 1. 安装Web服务器:在Pikachu靶场中,通过Apache Web服务器来提供Web服务。在Linux...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值