标签:代码审计

Java

Java XXE测试用例详解

yanxinchi 发布于 2019-11-21

标题 Java XXE测试用例详解 创建: 2019-11-21 15:42 更新: 链接: http://scz.617.cn:8/misc/201911211542.txt https://www.t00ls.net/thread-53947-1-1.html —...

阅读(10)评论(0)赞 (0)

编程技术

勒索软件终结者——开发属于你的安全产品

6

songhua.gao 发布于 2019-11-20

由于 勒索软件 攻击拥有低成本、高产出等特性, 网络犯罪集团 可以通过不断推出新的变种版本,来躲避杀毒软件的查杀。 而一旦中招,受害者往往为了减少损失,会选择支付赎金,无疑助长了勒索软件的泛滥态势。 当前,利用勒索软件进行网络攻击并获利,已成为 不容忽视的安全威胁。 为此, 看雪...

阅读(13)评论(0)赞 (0)

Java

Java框架级SSM代码审计思路

46

xiaoli.wang 发布于 2019-11-13

作者:天融信阿尔法实验室 公众号: Java框架级SSM代码审计思路 1 SSM框架简介 SSM框架,即SpringMVC+Spring+Mybatis三个开源框架整合在一起的缩写。 在SSM框架之前生产环境中SSH框架占据多数,即Struts2+Spring+Hibernate...

阅读(27)评论(0)赞 (0)

Spring

SpringMVC源码分析1:概述

4

小丁 发布于 2019-11-08

之前一段时间和各位师傅(py3rd师傅、iswin师傅、orich1师傅、廖大)聊了一下,感觉目前市场上对Spring Web这方面的安全非常看重。前段时间校招,不少学弟也给我说现在面试官起手就是问Spring安全方面的一些东西,感觉现在各家都比较需要这方面的人。我听了之后还蛮尴...

阅读(29)评论(0)赞 (0)

Java

Struts2基于OGNL的RCE漏洞全解析

52

hanze 发布于 2019-10-30

最近两年ST2-OGNL方面的漏洞已经渐渐淡出大家的视线,但我觉得作为曾经红极一时的经典系列RCE漏洞,对于ST2和OGNL有一个深入的认知对于代码审计和漏洞挖掘者是十分重要的,所以这篇文章对ST2中由于OGNL造成的RCE漏洞的成因、修复方案一一作了分析,希望能让各位看官对ST...

阅读(82)评论(0)赞 (0)

Java

基于Jenkins的项目持续交付实践分享

6

puefu.he 发布于 2019-10-29

摘要 部门项目由于需要管理多个服务,同时服务依赖的基础环境较为复杂,导致项目工程管理起来比较负责。所以采用devops的方式进行工程项目管理,包括代码构建、自动化测试、镜像打包、部署等功能,实现自动化运维管理。 持续部署实践 主要涉及以下几个部分: 项目管理:分为代码管理(包含分...

阅读(33)评论(0)赞 (0)

Java

Java代码审计入门:WebGoat8(再会)

35

changyuan.xu 发布于 2019-10-27

WebGoat8系列文章:前情回顾 数字观星 Jack Chan(Saturn),再会篇为Java代码审计入门:WebGoat8系列的第二篇,意为与WebGoat8再次相会。本篇我们将一起看看WebGoat8中的Authentication Bypasses和JWT相关安全问题。...

阅读(28)评论(0)赞 (0)

Java

Java安全漫谈 – 06.RMI篇(3)

6

yeseng 发布于 2019-10-14

这是 代码审计知识星球 中Java安全的第六篇文章 上一篇我们详细说了如何利用codebase来加载远程类,在RMI服务端执行任意代码。那么,从原理上来讲,codebase究竟是如何传递进而被利用的呢? 我们曾在第4篇文章抓过RMI的数据包,当时通过数据包简单梳理了RMI通信的组...

阅读(48)评论(0)赞 (0)

Java

Java代码审计入门篇:WebGoat 8(初见)

24

changyuan.xu 发布于 2019-09-29

简介 WebGoat8是基于Spring boot框架开发,故意不安全的Web应用程序,旨在教授Web应用程序安全性课程。该程序演示了常见的服务器端应用程序缺陷。本文将简要分析WebGoat8的登陆模块,注册模块,作为热身,随后对SQL注入课程进行代码审计。 基础 本人对WebG...

阅读(42)评论(0)赞 (0)

Java

Java反序列化漏洞原理解析(案例未完善后续补充)

1

hanze 发布于 2019-09-18

序列化与反序列化 序列化用途:方便于对象在网络中的传输和存储 java的反序列化 序列化就是将对象转换为流,利于储存和传输的格式 反序列化与序列化相反,将流转换为对象 例如:json序列化、XML序列化、二进制序列化、SOAP序列化 序列化: java.io.ObjectOutp...

阅读(74)评论(0)赞 (0)

Java

Java代码审计入门篇:WebGoat 8(初见)

25

likai 发布于 2019-09-12

作者:数字观星 Jack Chan(Saturn) 简介 WebGoat8是基于Spring boot框架开发,故意不安全的Web应用程序,旨在教授Web应用程序安全性课程。该程序演示了常见的服务器端应用程序缺陷。本文将简要分析WebGoat8的登陆模块,注册模块,作为热身,随后...

阅读(83)评论(0)赞 (0)

Java

Java代码审计学习之JNDI注入

2

尖兵 发布于 2019-07-23

前言 RMI(Remote Method Invocation) 即Java远程方法调用,一种用于实现远程过程调用的应用程序编程接口,常见的两种接口实现为JRMP(Java Remote Message Protocol,Java远程消息交换协议)以及CORBA。 JNDI (J...

阅读(120)评论(0)赞 (0)

Java

Java反序列化——Commons Collections5,6反序列化漏洞

26

wenming.gapo 发布于 2019-07-10

最新一直在做java的代码审计 无目的的挖洞让人好疲惫 为了让自己不能闲下来 不挖的时候觉得学习一下java的反序列化也是不错的 那么就从最开始的Commons Collections反序列化来学习 java的反序列化操作的函数 java有writeObject()函数可以来执行...

阅读(85)评论(0)赞 (0)

Java

致远A8协同管理系统0day漏洞深度剖析和漏洞利用

21

xiaoli.wang 发布于 2019-07-05

代码审计 Anonymous-ghost 5 July 2019 01:47 #1 首先这个漏洞在2019-6-26被人爆出,下面是网上爆出来的exp POST /seeyon/htmlofficeservlet HTTP/1.1 Content-Length: 1111 Use...

阅读(207)评论(0)赞 (0)

Java

从零开始java代码审计系列(四)

10

xubiao.zhuang 发布于 2019-07-03

此文为原创文章 作者:p0desta@先知社区 恭喜作者获得 价值100元的天猫超市享淘卡一张 欢迎更多优质原创、翻译作者加入 ASRC文章奖励计划 欢迎多多投稿到先知社区 每天一篇优质技术好文 点滴积累促成质的飞跃 今天也要进步一点点呀 最近打算审一审web项目,毕竟复现一些j...

阅读(124)评论(0)赞 (0)

编程技术

企业安全体系架构分析:安全体系架构概述

10

xiaoli.he 发布于 2019-07-01

最近都在谈论安全体系架构,我也有一些观点想与诸位分享,主题围绕着如何搭建企业级安全体系架构来进行,本期重点是搭建安全体系架构的先决条件,全主题不以投入资金来定安全体系,安全体系架构不是安全设备的堆积,这一点是重点想要分享的。 一套好的安全架构离不开以下几点支撑: 1. 企业的重视...

阅读(98)评论(0)赞 (0)

Java

从零开始java代码审计系列(三)

15

changyuan.xu 发布于 2019-06-27

此文为原创文章 作者:p0desta@先知社区 恭喜作者获得 价值100元的天猫超市享淘卡一张 欢迎更多优质原创、翻译作者加入 ASRC文章奖励计划 欢迎多多投稿到先知社区 每天一篇优质技术好文 点滴积累促成质的飞跃 今天也要进步一点点呀 这篇文章将会学习java中的OGNL表达...

阅读(121)评论(0)赞 (0)