JavaWeb解压缩漏洞之ZipSlip与Zip炸弹
前言前面一篇博文《Android Zip解压缩目录穿越导致文件覆盖漏洞》介绍过 Android 系统 Zip 文件解压缩场景下的目录穿越漏洞,近期在学习 JavaWeb 代码审计的时候从 github 看到《OpenHarmony-Java-secure-coding-guide.md》中“从 ZipInputStream 中解压文件必须进行安全检查”章节提及 JavaWeb 系统...
JavaWeb解压缩漏洞之ZipSlip与Zip炸弹
前言前面一篇博文《Android Zip解压缩目录穿越导致文件覆盖漏洞》介绍过 Android 系统 Zip 文件解压缩场景下的目录穿越漏洞,近期在学习 JavaWeb 代码审计的时候从 github 看到《OpenHarmony-Java-secure-coding-guide.md》中“从 ZipInputStream 中解压文件必须进行安全检查”章节提及 JavaWeb 系统...
网络安全的护城河:漏洞防御与加密技术深入浅出Java并发编程
在互联网的海洋中航行,我们每个人都是一艘小船。网络安全漏洞就像是海上的暗礁,一不小心就可能让我们的航程遭遇搁浅。今天,我们就来聊聊这些看不见的风险,以及我们如何用技术的灯塔照亮前行的道路。 首先,让我们看看网络安全漏洞是什么。简单来说,它就是系统里的小错误,但别小看这些小错误,黑客就像...
云效源码漏洞检测 这个是只针对Java语言还是其他语言都可以,主要检测哪些内容?
云效源码漏洞检测 这个是只针对Java语言还是其他语言都可以,主要检测哪些内容?
WEB漏洞 JAVA 反序列化
#序列化和反序列化序列化 (Serialization):将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。反序列化:从存储区中读取该数据,并将其还原为对象的过程,称为反序列化。Java反序列化及命令执行代码测试在IDE创建一个package包,包名为SerialTest包中创建三个类文件 Main Person S....
如何预防SQL注入,XSS漏洞(spring,java)
SQL注入简介SQL注入是由于程序员对用户输入的参数没有做好校验,让不法分子钻了SQL的空子,比如:我们一个登录界面,要求用户输入用户名和密码:用户名: ’ or 1=1–密码:点击登录之后,如果后台只有一条简单的待条件的sql语句,没有做特殊处理的话:如:String sql="select * from users where username='"+userName+"' and pass....
[漏洞预警]Java Spring Boot 框架远程命令执行漏洞
一、漏洞描述和危害 近日有安全专家指出,若未对 Spring Boot 的异常进行自定义处理,攻击者可构造恶意代码,远程执行任意命令。 二、受影响的软件及系统 Spring Boot 1.1 - Spring Boot 1.3.0 三、修复方案 1、云盾Web应用防火墙服务可以拦截此漏洞的攻击代码,详情点击: http://t.cn/RqWVsj3 2、将 Spring...
【漏洞公告】Oracle发布多个Java漏洞更新-2017年7月
2017年7月18日,Oracle官方发布了2017年7月份的安全公告, 安全公告中报告了多个漏洞, 远程用户可以访问和修改目标系统上的数据,或可以在目标系统上获得提升的权限,或导致目标系统上的拒绝服务,涉及到的安全漏洞较多,安全风险较高。 具体详情如下: ...
【漏洞公告】CVE-2017-1000353:Jenkins Java反序列化远程代码执行漏洞
近日,Jenkins 官方发布安全公告,公告介绍Jenkins版本中存在Java反序列化高危漏洞,可以导致远程代码执行。 具体详情如下:  ...
网站代码漏洞审计之JAVA架构
以前诸位看到过大牛的php代码审计,但是后来由于技术需要学了Java的代码审计,刚来时实战演练检测自个的技术成果,实际上代码审计我觉得不单单是取决于源代码方面的检测,包含你去构建布署下去和去黑盒测试方法作用点相匹配的源代码中去探索这一环节是最重要的,在代码审计中通常全部都是静下心去一步步的探索就可以峰回路转了!环境系统配置,本地布署环境:idea+tomcat8.5.67+db2数据库.7.26....
本页面内关键词为智能算法引擎基于机器学习所生成,如有任何问题,可在页面下方点击"联系我们"与我们沟通。
Java开发者
Java开发者成长课堂,课程资料学习,实战案例解析,Java工程师必备词汇等你来~
+关注