java代码god类_GitHub - godzeo/java-sec-code: java漏洞代码实验

最新推荐文章于 2023-12-18 16:52:22 发布
最新推荐文章于 2023-12-18 16:52:22 发布
阅读量250 收藏
点赞数
文章标签: java代码god类
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34763548/article/details/114949625
版权

Java Sec Code

对于学习Java漏洞代码来说,Java Sec Code是一个非常强大且友好的项目。

原作者老哥写的没问题,就是网络问题会导致不能用,我就自行修改了一下,我就拉我这里自己改着玩吧

我自己fork过来,修复一下,后续会自己做实验,修改一些东西

他的docker 和在线dome 现在都不能登陆了,过段时间可能可以?

介绍

该项目也可以叫做Java Vulnerability Code(Java漏洞代码)。

每个漏洞类型代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里。具体可查看每个漏洞代码和注释。

登录用户名密码:

admin/admin123

joychou/joychou123

漏洞代码

漏洞说明

如何运行

应用会用到mybatis自动注入,请提前运行mysql服务,并且配置mysql服务的数据库名称和用户名密码(除非是Docker环境)。

spring.datasource.url=jdbc:mysql://127.0.0.1:3306/java_sec_code

spring.datasource.username=root

spring.datasource.password=woshishujukumima

Docker

IDEA

Tomcat

JAR

IDEA

git clone https://github.com/JoyChou93/java-sec-code

在IDEA中打开,直接点击run按钮即可运行。

例子:

http://localhost:8080/rce/exec?cmd=whoami

返回:

Viarus

Tomcat

git clone https://github.com/JoyChou93/java-sec-code & cd java-sec-code

生成war包 mvn clean package

将target目录的war包,cp到Tomcat的webapps目录

重启Tomcat应用

例子:

http://localhost:8080/java-sec-code-1.0.0/rce/exec?cmd=whoami

返回:

Viarus

JAR包

先修改pom.xml里的配置,将war改成jar。

sec

java-sec-code

1.0.0

war

再打包运行即可。

git clone https://github.com/JoyChou93/java-sec-code

cd java-sec-code

mvn clean package -DskipTests

java -jar 打包后的jar包路径

认证

登录

如果未登录,访问任何页面都会重定向到login页面。用户名和密码如下。

admin/admin123

joychou/joychou123

登出

记住我

Tomcat默认JSESSION会话有效时间为30分钟,所以30分钟不操作会话将过期。为了解决这一问题,引入rememberMe功能,默认过期时间为2周。

曲继风
关注
R可视化24|111个实例(下篇代码分享)
qq_21478261的博客
02-19 1136
R可视化111个实例
官方教程:Go fuzzing模糊测试
perfume
02-27 2113
Go 1.18在go工具链里引入了fuzzing模糊测试,可以发现Go代码里的漏洞或者bug,非常强大,学习起来
Java-Sec-Code SpEL 代码审计
MZa1213123的博客
03-25 1208
一、什么是 SpEL Spring Expression Language(简称 SpEL)是一种功能强大的表达式语言,支持 运行时 查询和操作对象图 。SpEL 可以独立于 Spring 容器使用,但只是被当作成简单的表达式语言来使用。在未对用户的输入做严格的检查,以及错误使用 Spring 表达式语言时,就有可能产生表达式注入漏洞。 SpEL执行过程: 字符串 -> 语法分析 -> 生成表达式对象 -> (添加执行上下文) -> 执行此表达式对象 -> 返回结果 表达
Java公众号推荐 - BeJavaGod
weixin_33805743的博客
04-22 112
今天新创建了一个java的公众号,会经常更新java的文章,有兴趣的朋友关注一下吧~ 主要内容基本是跟本微博同步的 不管是做java的新手还是高手,内行还是外行,java还是非java,一起关注,一起学习,精益求精 还有... 我的心愿是: 世界和平... ...
java-sec-code学习
公众号shadow sock7
03-04 4442
配合静态代码审计工具,学习一下。 git clone https://github.com/JoyChou93/java-sec-code cd java-sec-code # 生成jar包 mvn clean package 修改配置文件src/main/resources/application.properties:: 将数据库名,账号密码修改为mysql中有的。 参考:mysql最常用最......
java-sec-code ssrf
weixin_44687621的博客
08-21 878
SSRF漏洞 SSRF(Server-side Request Forge, 服务端请求伪造)。 由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务。 利用伪协议读取文件 由于Java没有php的cURL,所以Java SSRF支持的协议,不能像php使用curl -V查看。 Java网络请求支持的协议可通过下面几种方法检测: 代码中遍历协议 官方文档中查看 import sun.net.www.protocol查看 SSRF是由发起网络请求的方法造成。所以先整理Java
[Java-sec-code学习]SSRF
Y4tacker的博客
06-27 761
文章目录前言SSRF修复方式 前言 今天预览版把我电脑搞崩了破防了CPU占用率100%,还好可以回滚版本,当然虽然是最简单的漏洞,但是底层代码我也觉得值得学习,一切从0开始 SSRF 其实闭着眼睛都知道支持file协议但是我还是想要分析一下 漏洞点位于org/joychou/controller/SSRF.java下 跟进这个URLConnection方法 他把url参数首先传入构造函数里,接着调用openConnection方法 很明显我们传入参数不满足上面条件进入else循环 调用构造函数
Java-SpringBoot:用户认证(Authentication)和用户授权(Authorization)
embelfe_segge的博客
05-14 7296
Java-SpringBoot-2 学习视频:B站 狂神说Java – https://www.bilibili.com/video/BV1PE411i7CV 学习文档: 微信公众号 狂神说 –https://mp.weixin.qq.com/mp/homepage?__biz=Mzg2NTAzMTExNg==&hid=1&sn=3247dca1433a891523d9e4176c90c499&scene=18&uin=&key=&devicetype=Win
PID控制器(比例-积分-微分控制器)- I
weixin_33692284的博客
09-21 3025
形象解释PID算法 小明接到这样一个任务: 有一个水缸点漏水(而且漏水的速度还不一定固定不变),要求水面高度维持在某个位置,一旦发现水面高度低于要求位置,就要往水缸里加水。 小明接到任务后就一直守在水缸旁边,时间长就觉得无聊,就跑到房里看小说了,每30分钟来检查一次水面高度。水漏得太快,每次小明来检查时,水都快漏完了,离要求的高度相差很远,小明改为每3分钟来检查一次,结果每次来水都没怎么漏,不...
Android 逆向分析大全
墨鱼菜鸡
07-11 3477
转载:Android 逆向分析大全:https://www.jianshu.com/p/a12d04fc748f 1. 概述 1.1 分析步骤 通用逆向分析步骤 1. 了解该模块正向编程相关方法2. 使用apktool解密apk,得到资源、jni模块等文件3. 从apk提取出dex文件,使用dex2jar转换成jar文件,再用java逆向工具...
java-sec-code:基于springboot和spring security的Java Web常见漏洞和安全代码
02-03
Java代码 Java sec代码是用于学习Java漏洞代码的非常强大且友好的项目。 介绍 该项目也可以称为Java漏洞代码。 除非没有漏洞,否则默认情况下,每个漏洞代码都有一个安全漏洞。 相关的修订代码在注释或代码中。 具体来说,您可以查看每个漏洞代码和注释。 登录用户名和密码: admin/admin123 joychou/joychou123 漏洞代码 按字母排序。 漏洞描述 怎么跑 该应用程序将使用mybatis自动注入。 请提前运行mysql服务器,并配置docker服务器以外的mysql服务器数据库的名称和用户名/密码。 spring.datasource.url=jd
java-sec-code环境搭建和简单命令执行分析
weixin_44687621的博客
08-13 1907
简介 Java Security Code 该项目也可以叫做Java Vulnerability Code(Java漏洞代码)。 每个漏洞代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里。具体可查看每个漏洞代码和注释。 该项目由当前最流行的框架springboot编写 环境搭建 这里为了方便调试,使用windows上的idea来搭建java security code 首先使用idea的git功能,clone源码到本地 网址:https://github.com/dr0op/java-
Java-sec-code java语言靶场环境搭建
最新发布
DamnVanish的博客
12-18 2007
java sec code 渗透测试靶场网站搭建
Java God -- 按位操作符 &, |, ^, ~(与,或,异或,非)
Code Poet
02-12 205
1. &,|,^ 为双目按位操作符,~为单目按位操作符 System.out.println(Integer.toBinaryString(5)); System.out.println(Integer.toBinaryString(4)); out("4 & 5: " + Integer.toBinaryString(4 & 5)); out("4 | 5: " +...
java-sec-code xss和csrf
weixin_44687621的博客
08-19 378
XSS漏洞 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。 一般来说,只要将用户输入的数据不经任何处理就返回到前端,是极易产生XSS漏洞的。 反射型xss 为了让我们方便理解,作者这里没有使用其他花里胡哨的html页面 @RequestMapping("/reflect"
Java-Sec-Code靶场
Aiwin的博客
08-15 1814
Java-Sec-Code靶场
java代码god_java – 如何编写Controller而不将其作为God对象?
weixin_39673303的博客
03-02 149
“很多线条”并不意味着这个阶级根本就是一个神的对象,这对于弄清楚你是否应该重构一些东西来说是一个糟糕的可怕基准.有些事情非常复杂,需要一个复杂且固有的大对象.上帝对象的想法就是班级所做的.例如,如果我做了一个可以的对象DoMyTaxes()GiveMeHugs()LogThisError()StartGameLoop()该对象有资格作为神对象,即使它可能只有100行代码.基本思想是所有上述内容都是...
代码审计入门之java-sec-code
MSB_WLAQ的博客
10-13 2580
1.介绍 对于学习JAVA代码审计的同学来说,java-sec-code是一个不可多得的学习靶场,根据作者的介绍每个漏洞代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里,具体可查看每个漏洞代码和注释。 2.安装 项目地址https://github.com/JoyChou93/java-sec-code/ java-sec-code是由java开发,使用的框架为springboot,下载到本地后直接使用IDEA导入项目。 选择maven工程选项。 导入项目..
实验:工具 God【 3.1.2 抽象依赖原则的使能工具】
yqj2065的博客
01-24 8066
工具God是抽象依赖原则的使能工具。
Python库cdktf_provider_github-0.1.86深度介绍
资源摘要信息:"Python库 | cdktf_cdktf_provider_github-0.1.86-py3-none-any.whl" 知识点详细说明: 1. Python库概述: Python库是包含了预编译的代码、程序和脚本的集合,它们可以被Python程序在运行时导入,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值