Java 项目安全、如何进行安全审计

密码出现位置:

1.properties后缀文件
2.java后缀文件
3.xml后缀文件

相关 - 关键词:

1.password
2.pass
3.jdbc
4.username
5.其他第三方软件(Redis)

例如:

image-20220629163220624

命令注入(是否存在以及绕过的可能)

关键词:
1.getRuntime
2.exec
3.ProcessBuilder
4.shell

文件上传点

关键词:
1.upload
2.MultipartFile
3.fileName
4.filePath

越权,URL跳转

关键词:
1.sendRedirect
2.setHeader
3.forward

其他

sql注入:Select、Dao、 from、delete、update、insert、createStatement

反序列化:readObject,readUnshared、JSON.parseObject

XSS注入: getParamter,param

XML注入:XMLStreamReader、SAXReader、XMLReader等

Fortify审计工具

文章来源:刘俊涛的博客 欢迎关注公众号、留言、评论,一起学习。

若有帮助到您,欢迎捐赠支持,您的支持是对我坚持最好的肯定(_)

posted @ 2022-06-29 16:38  刘俊涛的博客  阅读(113)  评论(0编辑  收藏  举报