java常用安全漏洞靶场

admin

136446
文章

111
评论

2024年6月25日14:16:33评论111 views字数 2682阅读8分56秒阅读模式

前言

最近在测试IAST的java agent，因此找了一些java的安全靶场，java靶场经常用的主要有下面的一些。

1. WebGoat

WebGoat是由OWASP组织研制出的用于进行Web漏洞实验的Java靶场程序。提供的训练课程有30多个，其中包括：跨站点脚本攻击（XSS）、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程，某些课程也给出了视频演示，指导用户利用这些漏洞进行攻击。

github地址：https://github.com/WebGoat/WebGoat新版本需要jdk17

安装

java常用安全漏洞靶场

2.SecExample

SecExample 是一个精心设计的实验平台，涵盖了多种Java Web应用中的安全漏洞，包括SQL注入、命令注入、XSS攻击等。这个项目的目标是帮助开发者增强对安全问题的认识，并提高在实际项目中预防和修复这些问题的能力。通过这个靶场，你可以以互动的方式进行学习，了解每个漏洞的工作原理，以及如何避免它们。

github地址：https://github.com/tangxiaofeng7/SecExamplejava版本1.8

安装

git clone https://github.com/tangxiaofeng7/SecExample.gitcd SecExampledocker-compose up -d

java常用安全漏洞靶场

3.Hello-Java-Sec

该项目是另一个比较常用的java靶场，包含了常见的web漏洞

java常用安全漏洞靶场

地址：https://github.com/j3ers3/Hello-Java-Sec

技术架构

Java 1.8SpringBoot 4.0Bootstrap 4.6.0Codemirror 5.62.0

安装

IDEA配置数据库连接，数据库文件src/main/resources/db.sqlspring.datasource.url=jdbc:mysql://127.0.0.1:3306/testspring.datasource.username=rootspring.datasource.password=1234567Jar运行JDK 1.8环境git clone https://github.com/j3ers3/Hello-Java-Seccd Hello-Java-Secmvn clean package -DskipTestsjava -jar target/hello-1.0.0-SNAPSHOT.jarDocker运行mvn clean package./deploy.sh

4.Java WebBug

WebBug是用Java语言编写的Web漏洞靶场，包含常见的Web漏洞，也有一些业务逻辑漏洞。相对常见的漏洞靶场， WebBug的优点是没有明确指明哪个页面有什么类型的漏洞，所以需要测试者自己测试过之后才能知道，相对更接近实战环境。WebBug还有一个优点就是给出了部分漏洞的修复方案，可以在学习Web漏洞测试的同时，也能学习Java应用程序漏洞的修复方式及思路。

下载地址：https://github.com/mysticbinary/WebBug

java常用安全漏洞靶场

服务器版本：9.0.52.0（我用的是Tomcat9，你也可以考虑用作者使用的Tomcat7）jdk8版本：jdk8_112数据库版本：Mysql 5.7.33运行工具：IDEA

安装

git clone https://github.com/mysticbinary/WebBug.gitcd WebBugdocker-compose up -d

5.java-sec-code

该项目也可以叫做Java Vulnerability Code(Java漏洞代码)。

每个漏洞类型代码默认存在安全漏洞（除非本身不存在漏洞），相关修复代码在注释里。具体可查看每个漏洞代码和注释。

项目地址：https://github.com/JoyChou93/java-sec-code/

java常用安全漏洞靶场

安装

应用会用到mybatis自动注入，请提前运行mysql服务，并且配置mysql服务的数据库名称和用户名密码(除非是Docker环境)。spring.datasource.url=jdbc:mysql://127.0.0.1:3306/java_sec_codespring.datasource.username=rootspring.datasource.password=woshishujukumima可以通过下面的四个方法进行安装：DockerIDEATomcatJARDocker开启应用：docker-compose pulldocker-compose up关闭应用：docker-compose downDocker环境：Java 1.8.0_102Mysql 8.0.17Tomcat 8.5.11IDEAgit clone https://github.com/JoyChou93/java-sec-code在IDEA中打开，直接点击run按钮即可运行。例子：http://localhost:8080/rce/exec?cmd=whoami返回：ViarusTomcatgit clone https://github.com/JoyChou93/java-sec-code & cd java-sec-code生成war包 mvn clean package将target目录的war包，cp到Tomcat的webapps目录重启Tomcat应用例子：http://localhost:8080/java-sec-code-1.0.0/rce/runtime/exec?cmd=whoami返回：ViarusJAR包先修改pom.xml里的配置，将war改成jar。<groupId>sec</groupId>    <artifactId>java-sec-code</artifactId>    <version>1.0.0</version>    <packaging>war</packaging>再打包运行即可。git clone https://github.com/JoyChou93/java-sec-codecd java-sec-codemvn clean package -DskipTests java -jar 打包后的jar包路径

原文始发于微信公众号（信安路漫漫）：java常用安全漏洞靶场

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

java常用安全漏洞靶场

1. WebGoat

2.SecExample

3.Hello-Java-Sec

4.Java WebBug

5.java-sec-code

WEB漏洞扫描器Invicti-Professional-V25.3更新

strelka: 威胁搜寻、威胁检测和事件响应的模块化数据扫描平台

CVE-2025-24813-PoC：Apache Tomcat 远程代码执行漏洞批量检测脚本

漏洞环境 | JavaSecLab

FreeProxy一个简单便捷的代理小工具|代理

NAS追剧新神器nasspider：自动追更，让你躺着看剧

工具 | SMS_Bomb_Fuzzer

【工具】Xray安装步骤说明

【工具分享】最新免杀Fscan，过各大检测

XSS漏洞利用工具之BeEF

发表评论

在线咨询

微信