- 博客(12)
- 资源 (2)
- 收藏
- 关注
RSS订阅原创 【Java反序列化】CC1调用链poc
package demo3.cc1;import org.apache.commons.collections.Transformer;import org.apache.commons.collections.functors.ChainedTransformer;import org.apache.commons.collections.functors.ConstantTransformer;import org.apache.commons.collections.functors.In.
2022-04-24 21:40:46
2123
原创 【Web安全】Web安全Java代码审计总结
《网络安全Java代码审计实战》笔记。一、SQL注入1.1 常见的sql注入场景1.预编译错误编程方式String username = "";String id = "2";String sql = "SELECT * FROM user where id = ?";if(!CommonUtils.isEmptyStr(username))sql += "and username like '%" + username + "%'";PreparedStatement pst
2022-04-23 15:27:23
3707
原创 【Java反序列化】URLDNS
序列化代码:import java.io.FileOutputStream;import java.io.IOException;import java.io.ObjectOutputStream;import java.lang.reflect.Field;import java.net.URL;import java.util.HashMap;public class UrlDnsClient { public static void main(String[] args)
2022-04-14 22:29:54
2516
原创 【Web渗透】Web渗透各类型问题总结
简单的总结web渗透中常见的问题,主要分享测试经验和防御措施一、暴力破解0x01漏洞介绍使用字典不断尝试登录系统,猜解认证凭据,达到通过系统认证的目的。0x02测试方法/工具1.观察web应用是否有防暴力破解机制,比如验证码机制、ip锁定、账号锁定等。2.尝试绕过防暴力破解机制。3.使用burpsuite的intruder模块进行暴力破解。0x03测试经验总结1.验证码绕过技巧1)观察验证码的生成方式,是否由服务端生成、是否安全随机。2)观察验证码是否在使用一次之
2022-04-10 18:14:32
4411
原创 SpringSecurity学习笔记4_实现RBAC用户登录认证
一、建表创建用户表、角色表、用户角色关联表建表语句如下:SET FOREIGN_KEY_CHECKS=0;-- ------------------------------ Table structure for sys_role-- ----------------------------DROP TABLE IF EXISTS `sys_role`;CREATE TABLE `sys_role` ( `id` int(11) NOT NULL, `rolename` v
2022-03-28 22:42:05
942
原创 SpringSecurity学习笔记3_认证相关的接口和类
一、UserDetails接口1.UserDetails:接口,表示用户信息接口中定义的方法如下://权限的集合 Collection<? extends GrantedAuthority> getAuthorities(); String getPassword(); String getUsername();//账号是否过期 boolean isAccountNonExpired();//账号是否锁定 boolean isAccount...
2022-03-27 19:29:37
1866
原创 SpringSecurity学习笔记2_基于数据库管理用户
一、UserDetails接口介绍SpringSecurity通过UserDetail对象来管理用户UserDetail有一个实现类User,我们需要将数据库中得到的用户信息包装成User类的实例,然后才能让SpringSecurity来管理用户的认证鉴权。二、引入Maven依赖 <dependencies> <!--SpringSecurity启动依赖--> <dependency> <g
2022-03-27 16:16:38
1141
原创 SpringSecurity学习笔记1_基于内存管理用户
一、简单配置1.配置文件中自定义用户密码application.yml#配置文件中自定义用户名密码spring: security: user: name: llb password: 1234562.关闭验证功能//排除security的配置,让它不起作用@SpringBootApplication(exclude = {SecurityAutoConfiguration.class})二、基于内存管理用户1.在配置类中配置用户密码信
2022-03-27 15:52:51
815
原创 【SQL注入】Mybatis框架下的sql注入白盒审计
一、Mybatis框架下sql语句的两种写法1.select * from [tablename] where [column]=#{value}#{value},即使用JDBC预编译模式,可以有效防止sql注入漏洞的产生。2.select * from [tablename] where [column]=${value}${value},该方式为sql语句的动态拼接,若该参数外部可控且未做校验,则存在sql注入的风险。二、Mybatis框架下两种提供SQL语句的方式1.在*map
2022-03-20 20:40:07
5351
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人