一、越权测试中的痛点/难点 越权漏洞是日常开发中比较常见的一个缺陷。要进行越权检测,一般需要明确定义和管理系统中的权限。这可能包括用户角色、资源和操作的细粒度权限控制。维护这些...
11月08日22 viewsSpringWeb常见鉴权措施与垂直越权检测已关闭评论filter
权限
SpringWeb常见鉴权措施与垂直越权检测
11月08日22 viewsSpringWeb常见鉴权措施与垂直越权检测已关闭评论filter
权限
11月08日22 viewsSpringWeb常见鉴权措施与垂直越权检测已关闭评论filter
权限
浅谈Spring actuator env endpoint的一个误区
Spring Boot Actuator 是 Spring Boot 提供的一个管理和监控 Spring Boot 应用程序的插件。Actuator 可以提供有关应用程序的健康...
07月12日69 views浅谈Spring actuator env endpoint的一个误区已关闭评论actuator
SecIN安全技术社区
浅谈Apache与CVE-2023-20860
一、前言 一般情况下,开发者配置鉴权时,可能都会遵循一个原则,就是"优先使用/**认证兜底,明确哪些接口无需认证,而不是明确哪些接口需要认证。 在Spr...
07月12日38 views浅谈Apache与CVE-2023-20860已关闭评论SecIN安全技术社区
shiro
浅谈Apache Shiro CVE-2023-22602
一、漏洞描述 Apache Shiro 是一个可执行身份验证、授权、加密和会话管理的 Java 安全框架。 由于 1.11.0 及之前版本的 Shiro...
03月12日157 views浅谈Apache Shiro CVE-2023-22602已关闭评论filter
shiro
浅谈Log4j2在Springboot的检测
引言 Apache Log4j是一个基于Java的日志记录工具。通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记...
11月11日210 views浅谈Log4j2在Springboot的检测已关闭评论java
漏洞
浅谈StandardServletMultipartResolver与文件上传bypass
在JavaWeb应用中,任意文件上传一直是关注的重点,攻击者通过上传恶意jsp文件,可以获取服务器权限。作为Java生态中最常使用的Spring框架,在进行文件上传解析时主要是...
04月23日154 views浅谈StandardServletMultipartResolver与文件上传bypass已关闭评论java
name
emoji、shiro与log4j2漏洞
引言 小黄脸emoji几乎每天在聊天的时候都会使用到,在某些waf bypass也会看到它的身影。 shiro、log4j2这两个组件应该都不陌生了,在...
04月15日67 viewsemoji、shiro与log4j2漏洞已关闭评论shiro
sql
浅谈Log4j2在JFinal的检测
引言 在前面的文章里简单的探讨了Spring框架中如何检测Log4j2漏洞。传送门https://sec-in.com/article/1431。 JF...
04月15日119 views浅谈Log4j2在JFinal的检测已关闭评论class
string
记一次"username"中的命令注入
引言 在JavaWeb中,在服务端主要通过调用Runtime.getRuntime.exec()方法或者ProcessBuilder.start()来执行系统命令。相关的漏洞场...
12月31日247 views记一次"username"中的命令注入已关闭评论username
漏洞
浅谈httpClient组件与ssrf
一、关于HttpClient ssrf是比较常见的漏洞,可以利用存在缺陷的web应用作为代理攻击远程和本地的服务器。一般存在于可以发起网络请求的方法和对应的业务。 HttpClient ...
11月19日370 views浅谈httpClient组件与ssrf已关闭评论emsp
http
JavaWeb中的权限控制——Spring AOP
一、前言 在实际开发场景中经常需要解决接口权限鉴别问题,能处理的方式有很多种,例如可以直接在controller中和service调用中识别用户身份,或者根据数据库返回的ent...
11月17日227 viewsJavaWeb中的权限控制——Spring AOP已关闭评论emsp
权限
绕过后缀安全检查进行文件上传-2
引言 一般针对文件上传业务,主要判断是否有检查后缀名,同时要查看配置文件是否有设置白名单或者黑名单,如果没有的话,那么攻击者利用该缺陷上传类似webshell等恶意文件。前面分...
11月17日174 views绕过后缀安全检查进行文件上传-2已关闭评论emsp
上传