MyBatis-Flex是一个MyBatis增强框架,它非常轻量、同时拥有极高的性能与灵活性。可以轻松的使用Mybaits-Flex连接任何数据库。浅析其中安全相关的问题。
该套系统是一次地市级hvv中,扫目录扫到备份文件拿到的,因为也是第一次审计.net,前期也没学过,可能也有很多解释的不对的地方望师傅们指出
Apache CXF 是 Apache 软件基金会下的一个开源项目,用于构建 Web Services 的应用程序。CXF 支持多种标准 Web Services 规范,如 JAX-RS 和 JAX-WS,并提供了基于这些规范的高效实现。浅谈其中可能遇到的安全问题。
在Java生态中,Spring全家桶是比较常见的。浅谈SpringMVC的参数处理过程。
在Java生态中,Struts2是比较常见的。浅谈其请求解析过程。
在Jersey中,可以通过jersey-media-multipart模块实现文件上传功能,浅谈其具体实现。
在 Spring WebFlux 中,可以使用 org.springframework.http.codec.multipart.FilePart 来处理文件上传。浅谈其具体实现。
分享是一种学习
在Java Web应用程序中,可以通过安全约束(Security Constraint)来实现访问控制。在Spring应用中,同样可以通过相应的安全约束进行访问控制,但是各个中间件与Spring两者间是存在一定的解析差异的,在某种情况下可能存在绕过的可能。
本篇文章中的所有发现的相关漏洞已提交 Issues 或通知仓库拥有者本人。此前审计过PHP、JAVA的CMS,这次尝试审计使用.NET Core开发的Web网站。 这个不是传统的.NET WEB FRAMEWORK,因此我们没有看到项目中存在的Asp、Aspx等动态网页文件。紧随我的脚步,让我们一起感受代码审计的魅力。
公众号授权问题引发的漏洞!
Apache Shiro内部其实是通过一个过滤器链来实现认证/鉴权等流程的。浅谈其中的请求解析过程。
在Java生态中,Spring全家桶是比较常见的。浅谈SpringWeb的请求解析过程。
Spring Security内部其实是通过一个过滤器链来实现认证/鉴权等流程的。浅谈其中的请求解析过程。
关于dreamer cms的代码审计,该cms使用springboot+mybaits完成。审计发现后台存在不少问题,严重到可以获取服务器权限。
本文审计版本为php老版本,非最新版,仅为了学习代码审计
之前给自己挖了几个大坑,一系列的总结文档还没有弄完,又碰上审计了,顺便记录记录下~有啥问题或建议,望大佬们,多多指点。
一次JAVA代码,文中内容有:XSS 挖掘修复与绕过,文件读取与文件写入漏洞分析与挖掘。
学习java审计的尝试
近期学习的代码审计