Loading

java漏洞历史

内容来自以前收集的思维导图,作者不明。




1.JDK漏洞

2.中间件漏洞

2.1.Tomcat

2.2.JBoss

2.3.Jetty

2.4.Jenkins

3.开发框架及组件漏洞

3.1.Struts框架

3.2.Spring框架

3.3.Play框架

3.4.Dubbo

4.安全框架

4.1.OWASP ESAPI

  • 4.1.1.注入
    Validator,Encoder
  • 4.1.2.XSS
    Encoder
  • 4.1.3.失效的身份认证和会话管理
    HTTPUtilities(Safe Upload)
  • 4.1.4.不安全的直接对象引用
    AccessReferenceMap,AccessController
  • 4.1.5.跨站请求伪造(CSRF)
    CSRF Token
  • 4.1.6.安全配置错误
    EnterpriseSecurityException,HTTPUtils
  • 4.1.7.不安全的加密存储
    Authenticator,User,HTTPUtils
  • 4.1.8.没有限制的URL访问
    Encryptor
  • 4.1.9.传输层保护不足
    HTTPUtils(Secure Cookie,Channel)
  • 4.1.10.未验证的重定向和转发
    AccessController

4.2.Spring Security

  • 4.2.1.重要组件
  • SecurityContextHolder
  • SecurityContext
  • AuthenticationManager
  • ProviderManager
  • AuthenticationProvider
  • Authentication
  • GrantedAuthority
  • UserDetails
  • UserDetailsService
  • 4.2.2.重要过滤器
  • WebAsyncManagerIntegrationFilter
  • SecurityContextPersistenceFilter
  • HeaderWriterFilter
  • CorsFilter
  • LogoutFilter
  • RequestCacheAwareFilter
  • SecurityContextHolderAwareRequestFilter
  • AnonymousAuthenticationFilter
  • SessionManagementFilter
  • ExceptionTranslationFilter
  • FilterSecurityInterceptor
  • UsernamePasswordAuthenticationFilter
  • BasicAuthenticationFilter

4.3.Shiro

posted @ 2019-05-06 23:47  素时听风  阅读(1946)  评论(0编辑  收藏  举报