mybatis - 第 2 | CN-SEC 中文网

安全文章

SpringKill的0day|在Mybatis环境下绕过Ognl防护RCE

此文章由SpringKiller安全研究师傅产出，这位佬是一个能独立开发一款企业级IAST，伸手0day伸脚1day，能手搓操作系统用脚逆向的师傅，还是OWASP的代码贡献者之一。哦，差点忘了，这个师...

03月23日64 views评论

阅读全文

安全文章

Java代码审计：SQL注入中的Update、In注入（若依CMS|Mybatis|Spring|新手向）

前言若依系统版本小于等于4.6.1的时候存在SQL注入漏洞，这个SQL注入漏洞挺有意思的。初学者在学习SQL注入的时候往往加个单引号闭合一下，如果没有报错就测试下一个点了。然而这种方式最终将会错过...

02月18日38 views评论

阅读全文

代码审计

Java代码审计初试

免杀是同所有的检测手段的对抗，目前免杀的思路比较多。本篇介绍了一个独特的思路，通过内存解密恶意代码执行，解决了内存中恶意代码特征的检测。同时提出了one click来反沙箱的思路，阐述了一些混淆反编译...

01月16日34 views评论

阅读全文

关于Mybatis的一个小问题。

之前在挖一些项目的时候，老是遇到参数置空导致信息泄露的问题。为了一探究竟，我又去重新补了一下Mybatis 也算是水一篇文章了。Mybatis中XML中的SQL规范可能产生的信息泄露如果在Mybati...

12月30日安全开发33 views评论

阅读全文

安全开发

MySQL调优之大表处理探索那些事

当MySQL单表记录数过大时，数据库的CRUD性能会明显下降，一些常见的优化措施如下：限定数据的范围：务必禁止不带任何限制数据范围条件的查询语句。比如：我们当用户在查询订单历史的时候，我们可以控制在...

12月21日40 views评论

阅读全文

安全文章

Mybatis 从SQL注入到OGNL注入

扫码领资料获网安教程免费&进群动态SQL动态 SQL 是 MyBatis 的强大特性之一，一般而言，如果不使用动态SQL来拼接SQL语句，是比较痛苦的，比如拼接时要确保不能漏空格，还要注意去掉...

05月20日100 views评论

阅读全文

代码审计

迷你天猫商城漏洞审计

一、项目简介迷你天猫商城是一个基于Spring Boot的综合性B2C电商平台，需求设计主要参考天猫商城的购物流程：用户从注册开始，到完成登录，浏览商品，加入购物车，进行下单，确认收货，评价等一系列操...

05月04日40 views评论

阅读全文

安全文章

从jshERP来看Mybatis下可能的SQL注入

前言这里选择使用jshERP这个CMS来进行Mybatis下可能存在的SQL注入点进行学习jshERP：框架为：springboot持久化框架：Mybatis-plus项目管理框架：Maven前置My...

04月16日30 views评论

阅读全文

安全文章

JAVA-RASP高效检测SQL注入

扫码领资料获网安教程免费&进群JAVA-RASP高效检测SQL注入1. 前言笔者在八月份时编写了一系列RASP Hook点及处理方式，这个过程中需要笔者去debug各lib库的代码流程，也协助...

03月14日13 views评论

阅读全文

安全开发

淘汰的JAVA框架

正文原文:zhihu.com/question/305924723/answer/557800752我接触 Java已近20年了，见证了许多Java技术变迁，包括：JavaEE框架，从百家混战到现在S...

11月29日51 views评论

阅读全文

安全工具

21 款 yyds 的 IDEA插件

最近，闲来无事，为了改变一下枯燥的编程环境，特地搜寻了下有助提升代码功力的插件.1、Stackoverflow 这个插件其实是最实用的插件，程序猿遇到的问题，基本都能找到回答，但是它使用的是...

10月30日53 views评论

阅读全文

安全文章

Mybatis中SQL注入攻击的3种方式，真是防不胜防！

来自：FreeBuf.COM，作者：sunnyf链接：https://www.freebuf.com/vuls/240578.html前言SQL注入漏洞作为WEB安全的最常见的漏洞之一，在java中随...

10月13日42 views评论

阅读全文

SpringKill的0day|在Mybatis环境下绕过Ognl防护RCE

Java代码审计：SQL注入中的Update、In注入（若依CMS|Mybatis|Spring|新手向）

Java代码审计初试

关于Mybatis的一个小问题。

MySQL调优之大表处理探索那些事

Mybatis 从SQL注入到OGNL注入

迷你天猫商城漏洞审计

从jshERP来看Mybatis下可能的SQL注入

JAVA-RASP高效检测SQL注入

淘汰的JAVA框架

21 款 yyds 的 IDEA插件

Mybatis中SQL注入攻击的3种方式，真是防不胜防！

在线咨询

微信