Java代码审计
关注
分享
扫一扫
文章平均质量分 76
ISMidi
小屁孩,努力学习好好生活
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
java-sec-code学习之XSS
前言项目是java-sec-code:https://github.com/JoyChou93/java-sec-codeXSS一般是将恶意的JavaScript代码植入html里面,导致访问请求的时候会造成JavaScript代码的执行,主要的有存储形XSS、反射形XSS、DOM形XSS。看下具体的实例0X00 从java代码出发进入controller文件/src/main/java/org/joychou/controller/XSS.java先看第一个反射形的。29行代码可以看出,原创 2021-08-15 15:17:19 · 469 阅读 · 0 评论 -
java-sec-code学习之CSRF
前言项目是java-sec-code:https://github.com/JoyChou93/java-sec-codeCSRF一般指跨站请求伪造(Cross-site request forgery),当某个接口没有设置CSRF验证,点击了别人恶意的链接,可能会造成对这个接口发送相应的数据,造成某个数据被更改。看下具体实例。GET类型的CSRF利用十分简单,构造一个IMG标签,加载的时候即可发送一个恶意get请求<img src=https://blog.mi-di.cn/csrf?x原创 2021-08-14 01:35:17 · 523 阅读 · 0 评论 -
java-sec-code学习之SSTI
前言项目是java-sec-code:https://github.com/JoyChou93/java-sec-codeSSTI,又称作模板注入,之前接触过python中flask的ssti模板注入,最终能达到rce,不过实战中比较少吧,php中比如smarty也会有相应的ssti模板注入。刚好今天来学习下java下的ssti。0x01 从java代码出发进入controller文件/src/main/java/org/joychou/controller/SSTI.java发现java使用原创 2021-08-13 01:06:15 · 1566 阅读 · 0 评论 -
java-sec-code学习之CORS
前言CORS(跨域资源共享)是用来实现跨域资源访问的,比如有两个域a1.com和b1.com,假设b1.com上面有个接口能够获取一些返回的数据,那么如果我们从a1.com写一段js去请求这个接口的数据,一般来说是请求不了的,会在浏览器爆出CORS错误,但如果有CORS设置,就可以实现这样的访问,甚至可以能够使用b1.com上的cookie。项目是java-sec-code:https://github.com/JoyChou93/java-sec-code0x01 从java代码出发进入contr原创 2021-08-10 16:45:15 · 426 阅读 · 0 评论 -
java-sec-code学习之CommandInject
前言项目是java-sec-code:https://github.com/JoyChou93/java-sec-code鸽了两天,在忙做其他的web。0x01 从原版java代码分析进入controller文件/src/main/java/org/joychou/controller/CommandInject.java@RestController注解下有一个CommandInject类先来看第一个控制器codeInjectget请求接受一个filepath,之后新建了一个对象Pr原创 2021-08-07 22:35:37 · 427 阅读 · 1 评论 -
java-sec-code学习之path_traversal
前言开始我的java代码设计学习,使用的环境是idea项目是java-sec-code:https://github.com/JoyChou93/java-sec-code从java代码审计从零开始的第一更,会从网上找各种资源整合学习0x01 从原版java代码分析进入controller文件/src/main/java/org/joychou/controller/PathTraversal.java在PathTraversal类前面我们可以看到有一个@RestController注解他是原创 2021-08-03 01:07:42 · 1140 阅读 · 0 评论