Java注入类漏洞精选技术文章汇总

本文汇总了MS08067实验室的研究成果,涵盖了Java中的SQL注入、代码注入、模板注入和表达式注入等安全问题。通过分析一系列高质量文章,包括对MyBatis、Hibernate、Struts2等框架的漏洞探讨,深入理解这些注入类漏洞的原理、危害及防御措施。此外,还提供了Java代码安全审计的学习资源和实践指导。
摘要由CSDN通过智能技术生成

出品|MS08067实验室(www.ms08067.com)


下列这些文章是团队在研究Java注入类漏洞时收集的高质量技术文章,在此推荐给大家。

1.SQL注入

《用javaPreparedStatement就不用担心sql注入了吗?-杨元-博客园》
https://www.cnblogs.com/iyangyuan/p/4809494.html

 

《MyBatis框架中常见的SQL注入-先知社区(aliyun.com)》

https://xz.aliyun.com/t/2343

 

《MyBatis和MyBatis可能导致的sql注入)》
https://www.sec-in.com/article/1022

 

《MyBatis 和SQL 注入的恩恩怨怨 - 安全客,安全资讯平台(anquanke.com)》https://www.anquanke.com/post/id/190170

 

《Hibernate HQL注入攻击入门 - FreeBuf网络安全行业门户》https://www.freebuf.com/news/33954.html

 

《Hibernate HQL注入与防御(ctf实例) - 卿先生 - 博客园 (cnblogs.com)》https://www.cnblogs.com/-qing-/p/11650774.html

 

2.代码注入

《Java代码执行漏洞中类动态加载的应用》

https://mp.weixin.qq.com/s?__biz=MzAwNzk0NTkxNw==&mid=2247484622&idx=1&sn=8ec625711dcf87f0b6abe67483f0534d

 

《从零开始学java web - struts2 RCE分析· LoRexxar's Blog》https://lorexxar.cn/2019/09/23/javaweb-S2/

 

《Java下奇怪的命令执行 (lmxspace.com)》
http://www.lmxspace.com/2019/10/08/Java下奇怪的命令执行/

 

《Java 回显综述(seebug.org)》
https://paper.seebug.org/1442/

 

《java反序列化RCE回显研究 - 先知社区 (aliyun.com)》
https://xz.aliyun.com/t/5257

 

3.模板注入

《Freemarker模板注入 Bypass - 先知社区 (aliyun.com)》https://xz.aliyun.com/t/4846

 

《Apache Struts2 Freemarker标签远程执行漏洞分析和复现(S2-053) - 先知社区 (aliyun.com)》
https://xz.aliyun.com/t/68

 

《服务端模板注入攻击 - 知乎 (zhihu.com)》
https://zhuanlan.zhihu.com/p/28823933

 

4.表达式注入

《Java 表达式注入 | Y4er的博客》
https://y4er.com/post/java-expression-injection/

 

《由浅入深SpEL表达式注入漏洞 - Ruilin (rui0.cn)》
http://rui0.cn/archives/1043

 

《浅析EL表达式注入漏洞 - 先知社区 (aliyun.com)》
https://xz.aliyun.com/t/7692

 

《Struts2 中的OGNL、表达式注入及防御》

https://mp.weixin.qq.com/s/8YxQPDu6sx-w_O4BrBCEmw

 

《泛微E-Mobile Ognl 表达式注入 (ioin.in)》

https://docs.ioin.in/writeup/www.sh0w.top/_index_php_archives_14_/index.html

 

《Spring 全家桶各类 RCE 漏洞浅析》
https://paper.seebug.org/1422/

观看《Java代码安全审计(入门篇)》配套讲解视频及技术解答

可加入“java代码审计”配套星球

星球建立的根本性目的是“通过较详细的漏洞点剖析以及代码审计的实战演示”帮助读者能够更快的入门Java代码审计,从此迈入Java代码审计的大门。

扫描下方二维码查看星球具体内容,星球附赠全书完整全套源码、工具及环境、配套的Docker镜像!

PS:广而告之

1.同时购买多个星球享受最低至6.3折折扣(第1个原价,第2个8.8折,第3个8.3折,第4个7.8折,第5个7.3折,第6个6.8折,第7个6.3折)

2.三人成团,一起购买可在享受第一条折扣基础上再合并打9折

3.支持分期付款及花呗付费

4.分享有礼,16%分享奖励,以当前价格计,您只需将我们推荐给6位付费新星友,您就完全赚回“门票”支出了

扫描下方二维码加入星球学习

加入后会邀请你进入内部微信群,内部微信群永久有效!

 

 

加入星球和5000位同学一起学习


评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值