java漏洞历史

最新推荐文章于 2024-05-22 10:44:23 发布
最新推荐文章于 2024-05-22 10:44:23 发布
阅读量352 收藏 2
点赞数
文章标签: php java 运维
原文链接:http://www.cnblogs.com/sstfy/p/10823033.html
版权

内容来自以前收集的思维导图,作者不明。

981809-20190506234459862-905759402.png
981809-20190506234510886-720573209.png
981809-20190506234534934-1945925481.png
981809-20190506234537276-1766982530.png

1.JDK漏洞

2.2.JBoss

2.3.Jetty

2.4.Jenkins

3.开发框架及组件漏洞

3.1.Struts框架

3.2.Spring框架

3.3.Play框架

3.4.Dubbo

4.安全框架

4.1.OWASP ESAPI

  • 4.1.1.注入
    Validator,Encoder
  • 4.1.2.XSS
    Encoder
  • 4.1.3.失效的身份认证和会话管理
    HTTPUtilities(Safe Upload)
  • 4.1.4.不安全的直接对象引用
    AccessReferenceMap,AccessController
  • 4.1.5.跨站请求伪造(CSRF)
    CSRF Token
  • 4.1.6.安全配置错误
    EnterpriseSecurityException,HTTPUtils
  • 4.1.7.不安全的加密存储
    Authenticator,User,HTTPUtils
  • 4.1.8.没有限制的URL访问
    Encryptor
  • 4.1.9.传输层保护不足
    HTTPUtils(Secure Cookie,Channel)
  • 4.1.10.未验证的重定向和转发
    AccessController

4.2.Spring Security

  • 4.2.1.重要组件
  • SecurityContextHolder
  • SecurityContext
  • AuthenticationManager
  • ProviderManager
  • AuthenticationProvider
  • Authentication
  • GrantedAuthority
  • UserDetails
  • UserDetailsService
  • 4.2.2.重要过滤器
  • WebAsyncManagerIntegrationFilter
  • SecurityContextPersistenceFilter
  • HeaderWriterFilter
  • CorsFilter
  • LogoutFilter
  • RequestCacheAwareFilter
  • SecurityContextHolderAwareRequestFilter
  • AnonymousAuthenticationFilter
  • SessionManagementFilter
  • ExceptionTranslationFilter
  • FilterSecurityInterceptor
  • UsernamePasswordAuthenticationFilter
  • BasicAuthenticationFilter

4.3.Shiro

转载于:https://www.cnblogs.com/sstfy/p/10823033.html

weixin_30856965
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
代码审计-JAVA项目框架类漏洞分析报告
m0_61506558的博客
10-07 566
Spring Expression Language(缩写为SpEL)是一种强大的表达式语言。在Spring产品组合中,它是表达式计算的基础。它支持在运行时查询和操作对象图,它可以与基于XML和基于注解的Spring配置还有bean定义一起使用。由于它能够在运行时动态分配值,因此可以为我们节省大量Java代码。
JAVA框架漏洞
weixin_68408599的博客
06-14 1312
此次漏洞出现在Apache Solr的DataImportHandler,该模块是一个可选但常用的模块,用于从数据库和其他源中提取数据。漏洞原因:我们请求的URL在整个项目的传入传递过程。Apache Shiro框架提供了Remember Me功能,用户登录成功后会生成经过加密并编码的Cookie,即使关闭了浏览器,再次访问时无需进行登录操作即可以之前的身份访问网站。漏洞的出现就在URL1,URL2和URL3 有可能不是同一个URL,这就导致我们能绕过shiro的校验,直接访问后端需要首选的URL。
漏洞介绍及修复建议(漏洞汇总,建议收藏后期会不断更新)
最新发布
baimao__Ch的博客
05-22 574
未分类Host 头攻击(高危)域名访问限制不严格(高危)URL 重定向(中危)会话劫持漏洞(中危)会话固定漏洞(中危)DNS 域传送漏洞(中危)检测到网站被黑痕迹(高危)传输层保护不足漏洞(中危)服务器启用了 TRACE Method 方法 (中危)点击劫持漏洞(X-Frame-Options 头缺失)(中危)启用了不安全的 HTTP 方法(启用了 OPTIONS 方法)(中危)Tomcat 版本过低漏洞 (中危)Apache Tomcat 示例目录漏洞 (中危)
Java它喋喋:终于可以和一个长达25年的漏洞说再见了
Jerry的博客
09-15 96
发布日程 距离Java 17发布的时间已经越来越近了。Rampdown Phase One阶段将持续近一个月。接下来的工作将以JEP3为基准,对可能出现的Bug进行修复、延迟修复、甚至是将Bug所在特性从版本中移除。大家关心的Java17发布时间表如下: 功能特性 Java17将带来以下特性: 就在Java17特性JEP 306公布的时候“Java它喋喋”高斯林科普了一个该特性相关而且搁置长达25年的漏洞,看上去很厉害的样子。Java17发布之后就可以和该漏洞Say Goodbye了。 Java 1.
Java相关框架漏洞
weixin_56378389的博客
05-23 1162
Fastjson;Shiro;SpringBoot;Apache Log4j2
创建Java安全框架 避免Java漏洞被利用
xiaoyu714543065的专栏
03-22 637
导读:据最近的报道,针对Java的袭击数量一直在稳步上升。在这篇文章,我们将谈到为什么Java容易成为攻击者的目标,以及企业应该如何创建Java安全框架,从而成功抵御基于Java漏洞攻击。 虽然蠕虫病毒、Zeus僵尸网络和极光行动是去年的头条新闻,但是据Krebs On Security的Brian Krebs和微软的Holly Stewart最近的报道,针对Java的袭击数量一直在稳步上升。
buherablog-cve-2013-1488:基于http的PoC Java漏洞利用
06-12
总之,CVE-2013-1488 是Java历史上一个重要的安全事件,它提醒我们在使用任何软件时,特别是那些具有广泛用户基础和处理敏感数据的软件,如Java,必须保持警惕并及时更新以避免安全风险。同时,对于开发者来说,理解...
JavaLearnVulnerability:Java漏洞学习笔记 Deserialization Vulnerability
05-12
JavaLearnVulnerabilityJava漏洞学习代码及笔记... 每一个部分从基础的知识学习,再到漏洞实战分析,漏洞实战分析主要以最近几年的历史漏洞。5. 由浅入深,由易到难。项目说明项目说明javatest依赖文件都在lib目录下,
java jdk8u151
02-06
1. **JDK 8的基础**: JDK 8是Java历史上的一个里程碑,它引入了诸如Lambda表达式、方法引用、流API(Stream API)、日期和时间API、新的Optional类等重大改进。这些特性极大地提高了代码的简洁性和可读性,同时也...
JAVAjdk.zip
08-27
这两个版本在Java开发历史上占据了重要的地位,各自具有独特的特性和改进。 首先,我们来看JDK 1.6,也被称为Java SE 6(Java Standard Edition 6)。这是Java的一个重要里程碑,发布于2006年。它引入了许多新特性...
Weblogic漏洞扫描工具
02-22
`CVE-2017-10271 wls-wsat页面的反序列化`漏洞是Weblogic服务器历史上影响较大的一个漏洞。wls-wsat是Weblogic的Web服务事务管理组件,该漏洞允许攻击者通过发送特制的序列化数据,执行任意代码。攻击者可以利用此...
JAVA代码审计常用漏洞总结
12-11
主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯: 跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑 可以是一个函数,或者是条小小的条件判断语句。 敏感函数参数回溯,根据敏感函数,逆向追踪参数传递的过程。这个方法是最高效,最常用 的方法。大多数漏洞的产生是因为函数的使用不当导致的,只要找到这些函数,就能够快速挖掘想要的漏洞
Java包含常见web漏洞测试项目
12-06
一个包含web常见漏洞的maven 项目。JDK8 +springMVC+JDBC+mybatis+mysql。使用Eclipse导入maven项目,用sql创建数据库和表,修改数据库连接密码。即可运行。有兴趣的可以研究测试。
java框架漏洞的学习笔记
weixin_63560942的博客
03-23 591
记录各种框架看到的漏洞,用以个人记录。
JAVA常用框架及漏洞
小小猪的博客
08-13 3704
三大语言常用框架及漏洞 Java框架 1.MyBatis 是支持定制化 SQL、存储过程以及高级映射的优秀的持久层框架,其主要就完成2件事情: 封装JDBC操作 利用反射打通Java类与SQL语句之间的相互转换 MyBatis的主要设计目的就是让我们对执行SQL语句时对输入输出的数据管理更加方便,所以方便地写出SQL和方便地获取SQL的执行结果才是MyBatis的核心竞争力。 ...
57:代码审计-JAVA项目框架类漏洞分析报告
mingyqf的博客
06-21 624
思维导图过滤器&拦截器区别:struts执行流程Struts2详细执行流程自己总结:https://blog.csdn.net/qq_33322074/article/details/80137667Struts2 有漏洞,一般在传统企业会用一点,比如:物流,erp 等 ,面试的时候要求你了解Struts的执行流程 ,真实工作开发中一般用的少一些。BS架构web项目SpringMVC ,SpringBoot,SpringCloud 企业中用的相对多一些。struts2的defaultActionMappe
常见Java漏洞汇总
weixin_30340353的博客
10-08 1019
1.ActiveMQ 反序列化漏洞(CVE-2015-5254) ref:https://www.nanoxika.com/?p=408 Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。 Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞...
JAVA漏洞简单总结
carrot11223的博客
01-24 2656
当使用post提交数据与后端通过数据库查询出来的值做比较时,如果s1=1&s2=2失败的话,说明s1和s2的值不满足要求,我没也不知道数据库这两个值到底是什么,现在使用s3=&s4=有可能就可以绕过,因为数据库如果没有s3和s4的话,提交的null值,从数据库查出来的也是null值,最终判断就是可以相等的。真实情况是还要考虑其他复杂的因素。JWT:和以前学过的cookie/session有些类似,也是用来验证用户身份的,在phpJava等语言中都有出现过,不过最常使用在Java/Python项目上。
Java代码审计中常见的漏洞(四)
武天旭的博客
12-11 1110
经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 1 文件上传 2 外部定义加密算法 3 设置HTTPOnly属性 4 加载恶意库 5 服务器端请求伪造 6 反射文件下载 7 解压覆盖文件
Java编程语言入门与历史
Java历史发展经历了多个关键节点: 1. 1995年5月23日,Java语言正式发布,奠定了其在分布式计算领域的地位。 2. 1996年1月,JDK 1.0发布,提供了Java开发的基本工具。 3. 随后的JDK 1.1和J2SE、J2EE、J2ME的发布...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值