摘要:
JAVA安全-02反射机制 什么是反射 Java反射(Reflection)是Java非常重要的动态特性,通过使用反射可以获取到任何类的成员方法(Methods)、成员变量(Fields)、构造方法(Constructors)等信息,还可以动态创建Java类实例、调用任意的类方法、修改任意的类成员变 阅读全文
摘要:
JAVA安全-01类加载机制 Java是一个依赖于JVM(Java虚拟机)实现的跨平台的开发语言。Java程序在运行前需要先编译成class文件,Java类初始化的时候会调用java.lang.ClassLoader加载类字节码,ClassLoader会调用JVM的native方法(defineCl 阅读全文
摘要:
Java代码审计漏洞-URL跳转 基础知识:https://www.cnblogs.com/-meditation-/p/16243218.html 漏洞代码 redirect、response.setHeader("Location", url)、sendRedirect 都可能存在漏洞 //re 阅读全文
摘要:
URL跳转漏洞 简介 URL 跳转漏洞也叫作 URL 重定向漏洞,由于服务端未对传入的跳转地址进行检查和控制,从而导致攻击者可以构造任意一个恶意地址,诱导用户跳转至恶意站点。因为是从用户可信站点跳转出去的,用户会比较信任该站点,所以URL跳转漏洞常用于钓鱼攻击,通过转到攻击者精心构造的恶意网站来欺骗 阅读全文
摘要:
Java代码审计漏洞-SSRF服务器请求伪造 ssrf基础:https://www.cnblogs.com/-meditation-/p/16227632.html 补充一点:SSRF利用的协议PHP和JAVA的有区别,高版本的JAVA可以用file ftp mailto http https ja 阅读全文
摘要:
#SSRF服务器请求伪造 概念 SSRF(服务端请求伪造):是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 SSRF形成的原因:服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。 攻击方式 1.访问服务器所在内网 阅读全文
摘要:
#Java代码审计漏洞-CSRF跨站请求伪造 若要通过代码审计去挖掘 CSRF 漏洞,一般需要首先了解该开源程序的框架。CSRF 漏洞一般会在框架中存在防护方案,所以在审计CSRF漏洞时,首先要熟悉框架对CSRF的防护方案,若没有防护方案,则以该框架编写的所有Web程序都可能存在CSRF漏洞。若有防 阅读全文
摘要:
CSRF全称为跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,它的意思是被攻击者在登录的情况下点击有攻击性的链接或访问含有恶意代码的网页,在被攻击者没意识到的情况下,使用被攻击者的身份对服务器发送一 阅读全文
摘要:
XSS-labs通关总结 基础知识 https://www.cnblogs.com/-meditation-/p/16168961.html Level 1 第一关很明显输入test在 <h2>中显示,看过上面链接的文章,就知道这是HTML标签<h2>之间的输出,直接使用<script>alert( 阅读全文
摘要:
XSS跨站脚本攻击 简介 XSS全称跨站脚本(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击 阅读全文