引言 文件上传是web中比较常见的业务,例如上传头像、简历等。当前也有很多开源工具包进行辅助实现,例如Apache Commons FileUpload、Jfinal cos等...
拯救圣诞世界
拯救圣诞世界 一、背景 “欢迎来到圣诞世界,它糟透了,但你会喜欢的。” &...
JavaWeb中的信息泄漏——H2 database
关于H2 database H2 是一个用 Java 开发的嵌入式数据库,它本身只是一个类库,即只有一个 jar 文件,可以直接嵌入到应用项目中。H2 主要有如下三个用途: *...
浅谈Springboot中的文件上传
引言 在JavaWeb应用中,任意文件上传一直是关注的重点,攻击者通过上传恶意jsp文件,可以获取服务器权限。但是在Springboot框架对JSP解析存在一定的限制。Spri...
Java代码审计之SQL注入——Mybatis框架
Mybatis简介 MyBatis是支持定制化SQL、存储过程以及高级映射的优秀的持久层框架。MyBatis避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。MyBat...
在XML中测试Fastjson反序列化
引言 在实际业务开发中,经常会对xml或者json类型的请求数据进行解析。例如微信扫码支付的功能,按照微信开发文档与支付平台进行数据交互就需要使用XML格式的数据。针对XML传...
S2-016漏洞整理
引言 最近项目上跟Struts2框架打交道比较多,整理一下比较经典的几个漏洞的测试以及Bypass姿势。首先是S2-016。 PS:升级迁移这个东西真的很费劲。 关于S2-01...
Java代码审计之图形验证码模块
常见实现方式 在服务端中随机生成一个指定位置的验证码,一般是四位或者六位。然后把该验证码保存到session中,再通过Java绘制类图以图片的形式输出该验证码。为了增加验证码的...
6