1.介绍
对于学习JAVA代码审计的同学来说,java-sec-code是一个不可多得的学习靶场,根据作者的介绍每个漏洞类型代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里,具体可查看每个漏洞代码和注释。
2.安装
项目地址https://github.com/JoyChou93/java-sec-code/
java-sec-code是由j……继续阅读 »
jianxin
8个月前 (10-30) 235浏览 0评论
39个赞
这是 酒仙桥六号部队 的第 3 篇文章。
全文共计3684个字,预计阅读时长10分钟。
背景
某年的某个夏天,某医院需要做攻防演练,而且是全仿真的演练,只有客户名,没有任何资产信息。时间紧,任务重,于是我们兵分两路,一波人在远程从外围突破,我和另一个小伙则踏上了旅途,准备从内……继续阅读 »
jianxin
8个月前 (10-20) 233浏览 0评论
9个赞
简介:¶
很多网站由于业务需求,会给用户提供一些文件下载的地方,例如一些附件下载的地方,如果此时文件下载是通过路径的方式提供下载,并且路径参数是前端提交数据包到后端的,那么恶意用户就可以修改路径从而下载服务器的一些敏感文件或者网站源码等,对服务器进行进一步的攻击
漏洞原理实例:¶
某网站附件下载处存在如下链接:
http://example.com/dow……继续阅读 »
jianxin
8个月前 (10-17) 277浏览 0评论
2个赞