分享一款综合型Java漏洞平台

JavaSecLab是一款综合型Java漏洞平台，提供相关漏洞缺陷代码、修复代码、漏洞场景、审计SINK点、安全编码规范，覆盖多种漏洞场景，友好用户交互UI……

• 跨站脚本攻击、跨站请求伪造、CORS、JSONP、URL重定向、XFF伪造、拒绝服务、XPATH注入

• SQL注入、任意文件系列、跨服务端请求伪造、XML实体注入、RCE

• 逻辑漏洞(IDOR、验证码安全、支付安全、并发安全)、敏感信息泄漏系列、登录对抗系列

• SPEL注入、SSTI注入、反序列化、组件漏洞

先clone下项目代码

git clone https://github.com/whgojp/JavaSecLab.git

本地部署-IDEA

JDK环境 1.8

1、配置数据库(Mysql 8.0+)

执行 sql/JavaSecLab.sql 文件

修改配置文件application.yml active为dev(项目默认为docker 如果搭建的过程中出现数据库连接错误 师傅们可以注意下这里)

spring:  # 环境 dev|docker  profiles:    active: dev

2、修改application-dev.yml配置文件

username: rootpassword: QWE123qweurl: jdbc:mysql://localhost:13306/JavaSecLab?characterEncoding=utf8&zeroDateTimeBehavior=convertToNull&useSSL=false&useJDBCCompliantTimezoneShift=true&useLegacyDatetimeCode=false&serverTimezone=GMT%2B8&nullCatalogMeansCurrent=true&allowPublicKeyRetrieval=true&allowMultiQueries=true

初始账号密码：admin/admin(后台可修改)

Docker部署(推荐)

条件：已安装docker和docker-compose

docker部署过程中 sql文件没有初始化执行的话(即数据库为空) 需要手动导入下sql文件

mvn clean package -DskipTestsdocker-compose -p javaseclab up -d