JAVA代码审计(基础漏洞:SQL注入、XXE、XSS、反序列化、CSRF、文件上传、逻辑漏洞、SSRF、命令执行)
目录
必要的基础
基础漏洞代码审计
1、SQL注入
代码审计
2、XXE(XML外部实体注入)
漏洞原理
代码审计
3、xss
漏洞原理
XSS漏洞分类
代码审计
4、反序列化
漏洞原理
漏洞的必要条件
代码审计
5、CSRF漏洞
漏洞原理
在测试CSRF漏洞时的三种方法
代码审计
6、文件上传漏洞
漏洞原理
代码审计
7、逻辑漏洞
漏洞原理
代码审计
8、SSRF漏洞
漏洞原理
代码审计
9、命令执行漏洞
漏洞原理
代码审计
10、Autobinding
11、URL跳转漏洞
12、和文件操作相关的漏洞
13、json注入(有点类似参数自动绑定)
14、ldap注入
大佬的自动化脚本
必要的基础
-
Java基础:这是有技术层面需求的,不仅仅需要明确理解Java的基本编程语言,还需要熟悉并理解Java的主要程序框架,比如Spring。Spring框架在许多中大型网站的后端开发中被广泛应用,因为它能提供方便的数据库事务管理服务,简化了离散技术的集成,并且可以有效地帮助开发人员焦点集中在实质性的业务开发上。
-
理解漏洞的原理:这是从安全层面的需求。需要理解漏洞是如何发生的,它们的致命性质是什么,以及怎样的代码实践会导致它们。知道漏洞的原理,了解漏洞产生的原因,只要在审计的时候,重点关注这些原因,就很容易找到漏洞