JAVA安全
文章平均质量分 92
基础代码审计、历史框架中间件漏洞复现分析学习
今天是 几号
剑未配妥 出门已是江湖
展开
-
【JAVA反序列化】序列化与反序列化&Java反射&URLDNS链
当两个进程进行远程通讯时需要Java序列化与反序列化(可以相互发送各种数据,包括文本、图片、音频、视频等)发送方需要把这个Java对象转换成字节序列(二进制序列的形式),然后在网络上传送,实际上正常在序列化过程中,传入dnslog地址也会有数据回显,因为在序列化过程中同时也调用了hashCode(hashCode传入初始值为-1,也会触发dnslog。图中注释部分与前面讲的JAVA反射技术就是为了动态修改url.Class类中初始hashCode的值,使其不为-1,以避免在探测漏洞时产生误报)原创 2023-06-24 11:38:38 · 1918 阅读 · 0 评论 -
代码审计-Java项目&Filter过滤器&CNVD分析&XSS跨站&框架安全
如果服务器是正常关闭,则会执行destroy方法。概念:Web中的过滤器,当访问服务器的资源时,过滤器可以将请求拦截下来,完成一些通用的功能(登陆验证、统一编码处理、敏感字符过滤……1. init:在服务器启动后,会创建Filter对象,然后调用init方法。查看配置文件web.xml和外部引用库,确定当前引用框架名称和版本。2. doFilter:每一次请求被拦截资源时,会执行。Hibernate 配置文件:Hibernate.cfg.xml。配置文件获取框架名称及版本,利用漏洞库验证是否存在漏洞。原创 2023-06-22 14:25:50 · 1883 阅读 · 0 评论 -
代码审计-Java项目&JDBC&Mybatis&Hibernate&注入&预编译&写法
1、预编译使用不当:2、直接动态拼接:3、order by& like & in查询:(由于这两种不能预编译,所以需要过滤器或自定义过滤)能预编译的情况都做预编译,一些特殊无法做预编译的,则过滤用户可控的参数。原创 2023-06-15 19:53:58 · 2331 阅读 · 1 评论