随笔分类 -  代码审计

CodeQL学习实践
摘要:CodeQL简介 CodeQL是一个非商业的开源代码自动化审计工具,Github收购后,开源了CodeQL的规则部分,所以收集了大量的规则,安全工程师可以依赖CodeQL的规则实现对多种开发语言项目的代码审计工作 CodeQL原理 CodeQL将代码转化成可查询数据库,代码被视为数据,漏洞、bug、 阅读全文
posted @ 2023-06-14 19:04 妇愁者纞萌 阅读(236) 评论(0) 推荐(0) 编辑
org.apache.poi 3.8 excel xxe漏洞复现
摘要:复现步骤 pom.xml引入依赖 <dependency> <groupId>org.apache.poi</groupId> <artifactId>poi</artifactId> <version>3.8</version></dependency><dependency> <groupId> 阅读全文
posted @ 2022-02-28 18:42 妇愁者纞萌 阅读(707) 评论(0) 推荐(0) 编辑
fastjson1.2.22-1.2.24 反序列化命令执行实践测试
摘要:首先创建一个spring boot的项目 pom.xml因为fastjson 依赖 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.22</version> </de 阅读全文
posted @ 2021-01-19 13:37 妇愁者纞萌 阅读(390) 评论(0) 推荐(0) 编辑
Spring boot JdbcTemplate sql注入测试
摘要:1.首先创建项目 通过JdbcTemplate来访问数据库,Spring boot提供了如下的starter来支撑 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-jdb 阅读全文
posted @ 2021-01-19 11:37 妇愁者纞萌 阅读(1178) 评论(0) 推荐(0) 编辑
SpringBoot 整合mybatis SQL注入漏洞实践
摘要:SpringBoot 整合mybatis 请看 https://www.cnblogs.com/fczlm/p/14272917.html 这里主要记录mybatis的sql注入漏洞的实践测试。 首先在该项目下再创建一个数据库操作接口 @Mapper public interface FindUse 阅读全文
posted @ 2021-01-13 17:49 妇愁者纞萌 阅读(832) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示