入门 Java 代码审计, 师傅们有什么好的路线推荐

Java 基础有了,想进行实战。师傅们有什么好的建议

请先 登录 后评论

最佳答案 2021-08-03 09:29

建议先从底层开始。先从框架漏洞开始,然后就到 OWASP top10大漏洞

1、查看该系统所用框架

    struts2

    spring

    mybatis xml

2、查找SQL注入

    DAO:是否存在拼接的SQL语句

    XML中:是否使用$,

3、第三方控件漏洞

    fckeditor,wordpress

4、文件上传、远程命令执行、远程代码执行、越权下载、逻辑

5、ofcms、javapms等cms。



请先 登录 后评论

其它 0 个回答

  • 1 关注
  • 0 收藏,254 浏览
  • 提出于 2021-07-31 17:23