代码审计
文章平均质量分 87
2
鲨鱼饿死了
鲨鱼饿死了
展开
-
Java代码审计--漏洞补充
今天看到一个新的代审资料https://potato.gold/data/uploads/pdf/软件安全开发/JAVA代码审计常用漏洞总结.pdf,就补充一下我的知识库代码审计方法是跟踪用户数据和参数回溯。原创 2024-03-04 17:47:04 · 418 阅读 · 0 评论 -
php组件漏洞
通常我们调用一个php中的方法,比如这样一个函数方法localAdd(10,20),localAdd方法的具体实现要么是用户自己定义的,要么是php库函数中自带的,也就说在localAdd方法的代码实现在本地,它是一个本地调用!3、B接受A发送过来的字节流,然后反序列化得到目标方法名,方法参数,接着执行相应的方法调用(可能是localAdd)并把结果30返回;扩展,按照官网的描述,可以安装也可以不安装,不安装phprpc也是可以运行的。然后就可以非常方便的去使用第三方的类库了,是不是感觉很棒啊!...原创 2022-07-27 09:51:22 · 605 阅读 · 0 评论 -
javascript代码笔记
前言:是之前本地写的一些潦草的笔记,今天翻出来,顺便看看别的文章补充补充嘻嘻原创 2022-07-11 14:22:17 · 440 阅读 · 0 评论 -
统计某开源项目的第三方组件列表&vscode使用
前言:两个开源项目,统计一下组件列表。原创 2022-07-11 14:08:07 · 2708 阅读 · 0 评论 -
ASP.NET学习& asp‘s one word
ASP 是一种使得网页中的脚本在因特网服务器上被执行的技术。ASP 页面的文件扩展名是 .asp ,通常是用 VBScript 编写的。ASP.NET 是新一代 ASP 。它与经典 ASP 是不兼容的,但 ASP.NET 可能包括经典 ASP。...原创 2022-07-07 16:11:11 · 518 阅读 · 0 评论 -
vue使用&Mac+idea的vue开发环境配置
但npm用国外的服务器,速度比较慢,淘宝提供了一个cnpm命令,可以从淘宝镜像下载,淘宝镜像与官方同步频率目前为 10原创 2022-07-05 17:40:14 · 2507 阅读 · 0 评论 -
C#代码审计实战+前置知识
C# 基于 C 和 C++ 编程语言,是一个简单的、现代的、通用的、面向对象的编程语言,它是由微软(Microsoft)开发的,由 Ecma 和 ISO 核准认可的。C# 是由 Anders Hejlsberg 和他的团队在 .Net 框架开发期间开发的。C# 是专为公共语言基础结构(CLI)设计的。CLI 由可执行代码和运行时环境组成,允许在不同的计算机平台和体系结构上使用各种高级语言。...原创 2022-07-01 10:30:21 · 43878 阅读 · 1 评论 -
代码审计实战积累2
前言:一些代码审计过程中学习到的点原创 2022-06-09 17:51:11 · 644 阅读 · 0 评论 -
代码审计实战积累
代码审计原创 2022-04-26 17:41:28 · 2261 阅读 · 3 评论 -
java代码审计--之--常用框架了解
框架框架:软件的半成品,为解决问题而指定的一套约束,在提供功能基础上进行扩充。框架中一些不能被封装的代码(变量),需要新建xml文件,在文件中添加变量内容。类库:没有封装逻辑MyBatis环境搭建导入jarCglib依赖的包动态代理包日志包MyBatis核心包驱动全局配置文件在 src 下新建全局配置文件(编写 JDBC 四个变量)引入 DTD 或 schema <?xml version="1.0" encoding="UTF-8"?>原创 2021-11-10 16:54:27 · 808 阅读 · 0 评论 -
《网络安全java代码审计实战》笔记2-常见框架漏洞
作者言:我 ~ 感觉通过这本书来学习框架,理解框架的话是非常困难的,看的云里雾里。最好还是看一下系列的课程,明白 前因后果 比较好。对我来说是这样。↓ 是我目前在看的框架课程。https://www.bilibili.com/video/BV137411V7Y1?p=658Spring框架1. Spring介绍2. 第一个Spring MVC项目3. CVE-2018-1260 Spring Security Oauth2 RCE4. CVE-2018-1273 Spr原创 2021-11-02 16:55:06 · 3211 阅读 · 2 评论 -
《网络安全java代码审计实战》笔记1-常见漏洞审计
学习笔记↓sql注入sql语句参数直接动态拼接String id=request.getParameter("id");预编译有误开发者的个人习惯,没有按照PrepreStatement正确的 开发方式进行数据库连接查询,再预编译语句中也sql语句拼接String id="2";String username="user%' 'or'='1'#";String sql="SELECT * FROM user where id=?";sql+="and username like原创 2021-11-01 16:48:49 · 5304 阅读 · 4 评论 -
java代码审计4之Java EE开发框架安全审计
Java EE开发框架安全审计框架的本质是对底层信息进一步封装,目的是使开发人员将更多精力集中在业务逻辑中。框架的执行流程SSM框架框架简介:Spring mvc + spring + mybatis之前生产环境多用ssh(struts 2 + spring + hibernate),但是struts 2高危漏洞太多了1.Spring mvc将web层进行职责解耦,使用请求-响应模型2.Spring以ioc和aop微内核,使用基本的javabean完成以前只能由ejb完成的工作3.My原创 2021-10-30 19:31:52 · 1080 阅读 · 0 评论 -
java代码审计3之常见漏洞的代码审计
---------常见漏洞的代码审计--------CSRF抓取请求数据包,删除referer字段再重新提交一般不需要代码审计来挖掘,专门的csrf漏洞的检测工具如果要通过代码审计去挖掘csrf,首先了解该开源程序的框架,csrf漏洞一般会在框架中存在防护方案SSRFCVE-2019-9827CVE-2014-4210URL跳转Url重定向漏洞,服务端未对传入的跳转地址进行检查和控制,导致攻击者可构造任意恶意地址,诱导用户跳转到恶意网站。通常发生在登录,统一身份认证处。大多数访原创 2021-10-30 19:18:13 · 2564 阅读 · 0 评论 -
java代码审计2之OWASP TOP10
----------Owasp top 10 2017----------注入1. SQL注入1.Jdbc拼接不当导致sql注入Jdbc有两种方式执行SQL语句A.Preparestatement:会对SQL语句进行预编译,支持?对变量位进行占位,在预编译阶段填入相应的值构造出完整的SQL语句,这样可避免SQL注入。但开发者有时为了便利,会直接拼接SQL语句,这样则无法阻止SQL注入。B.Statement:每次执行时都需要编译,增大系统开销2.框架使用不当造成sql注入对jdbc进行更原创 2021-10-30 19:03:21 · 524 阅读 · 0 评论 -
java代码审计1之基础知识
1.项目构建工具MavenMaven采用pom概念(project object model)来管理项目。Pom.xml,用于管理源代码,配置文件开发者信息和角色,项目授权,项目的url,项目的依赖关系等。Dependencies和dependency用于定义依赖关系,dependency通过groupid,artifactid及version来定义所依赖的项目。Swagger再前后端开发和分析中,为减少和其他团队的沟通成本,会构建restful api文档来描述所有接口信息。开源软件框架,原创 2021-10-30 18:43:27 · 300 阅读 · 0 评论 -
java代码审计----win10安装docker
开始看《java代码审计》第一先安装jdk安装dockerwin10安装dockerdocker官网下载desktop安装后,docker启动不起来,小鲸鱼图标也是红的搜索,说打开hyper啥的控制面板----程序----启用或关闭windows功能没找到这玩意查看了一下,适用于linux的windows子系统已经打开了。也不见好↓这个博主说是wsl版本老了,下载了安装包果然可行https://blog.csdn.net/qq_39611230/article/details/1原创 2021-08-09 22:15:58 · 574 阅读 · 0 评论