摘要:
最近三个月三次遇到了jeecgboot,要是算上没有识别出来的估计会更多,逮着一个前台模板注入薅了两次,所以这次来对低版本的积木报表做个前台漏洞总结,刚好也算是对这种涉及到jar包审计的学习 1.前台sql注入 POC POST /jeecg-boot/jmreport/qurestSql HTTP 阅读全文
摘要:
在代码审计中,java比较特殊,相比于php这种纯脚本文件驱动,java还可以使用内置虚拟机驱动(如比较新的spring技术),这就常常涉及到jar包。 之前都是跳过jar包,以为jar包里面就是一些框架性的东西,但是其实,有些jar包就是作者为系统专门编写或修改的,其中被引用的方法也是可能被直接引 阅读全文