随笔分类 - 代码审计
摘要:level-5 找到java文件,可以看到传入的token经过64解码后输入导对象输入流中,然后没有加限制直接readObject进行了反序列化操作,确实存在漏洞点~ package org.owasp.webgoat.plugin; import java.io.*; import java.ut
阅读全文
摘要:一、Cross-site Request Forgeries 1.level3 这里的level3,就是限制了Referer的参数值为空或者是不等于host即可,单纯为了教学而设计的题目,没啥可说的~ 因为java功底有限,待我再研究研究token怎么整,这里先按照简单的referer校验源头校验修
阅读全文
摘要:零、Secure Password 这里没什么可审计的,经典的爆破,定期更换复杂度相当的密码吧…… 一、Password reset 1.level2 这里题目给出的信息是登录自己的WebWolf,密码是从e-mail得到的,那就开始吧~ 这里我的WebWolf不能正常访问,但是所有功能以及运行是没
阅读全文
摘要:一、Sql Injection_introduction 1.这里level1-8就不说了,都是介绍+简单的sql语句,直接上level9 这里可以看到,是给出了选择框的一道题,OWASP真不错,生怕你不会哈哈~ 这里其实就是最简单的sql注入的情况,65行处没有对输入的语句(accountName
阅读全文
摘要:一、写在前面 刚刚入职,适应了几天后抓紧开始学习,毕竟学无止境且自己太菜了…… 面试的时候,负责人问了我一些关于Java代审的问题,不过之前接触的更多是php的代审。熟悉代审的小伙伴们大概都清楚,两者就不是一个难度等级……而且网上目前好像也没有一个比较系统的java代审学习路线和视频,在这里就慢慢摸
阅读全文
