Java安全

shiro反序列化漏洞利用

前言ApacheShiro是企业常见的Java安全框架,执行身份验证、授权、密码和会话管理。2016年,曝光出1.2.4以前的版本存在反序列化漏洞。
Tide_诺言·2022-02-18 18:21

小迪安全学习笔记--第40和41天JAVA安全及预编译CASE注入等目录遍历访问控制XSS等安全问题

通过前期的WEB漏洞的学习,掌握了大部分的安全漏洞的原理及利用,但在各种脚本语言开发环境的差异下,会存在新的安全问题,其中脚本语言类型PHP,Java,Python等主流开发框架会有所差异。SQLInjection(mitigation)防御sql注入,其实就是session,参数绑定,存储过程这样的注入。//利用session防御,session内容正常情况下是用户无法修改的select*fro
zr1213159840·2022-02-17 14:08

程序员去公司面试,面试官让他展示一下自己的特长

什么SpringMVC、Hibernate、MyBatis、Java安全、Struts2、ConcurrentHashMap等这些,说出来之后就不好圆场了,装逼一
贝贝老师·2022-02-16 16:32

Apache Shiro (一:入门)

简介ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。
但时间也偷换概念·2022-02-09 21:02

【小迪安全】web安全|渗透测试|网络安全 | 学习笔记-7

目录第40天:JAVA安全-JWT安全及预编译CASE注入等第41天:JAVA安全-目录遍历访问控制XSS等安全问题第42天:漏洞发现-操作系统之漏洞探针类型利用修复第43天:漏洞发现-WEB应用之漏洞探针类型利用修复第
youngerll·2022-02-08 12:18

Java安全之BCEL ClassLoader

目录Java安全之BCELClassLoader写在前面AboutBCEL调试分析食用姿势Fuzz反序列化GadgetFastjsonBCELPayloadThymeleafSSTIPayloadJava
Zh1z3ven·2022-02-08 00:00

SpringSecurity能否吊打Shiro?

文章内容:SpringSecurity和Shiro区别及用法作者:优极限ApacheShiro是一个强大且易用的Java安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。
·2022-01-21 12:59

Java安全之Axis漏洞分析

Java安全之Axis漏洞分析0x00前言看到个别代码常出现里面有一些Axis组件,没去仔细研究过该漏洞。研究记录一下。
nice_0e3·2021-11-26 00:00

Java安全之基于Tomcat的Filter型内存马

Java安全之基于Tomcat的Filter型内存马写在前面现在来说,内存马已经是一种很常见的攻击手法了,基本红队项目中对于入口点都是选择打入内存马。
CoLoo·2021-11-21 22:00

Java安全之基于Tomcat的通用回显链

Java安全之基于Tomcat的通用回显链写在前面首先看这篇文还是建议简单了解下Tomcat中的一些概念,不然看起来会比较吃力。其次是回顾下反射中有关Field类的一些操作。
CoLoo·2021-11-20 16:00

Java安全-Tomcat AJP 文件包含漏洞(CVE-2020-1938)幽灵猫漏洞复现

TomcatAJP文件包含漏洞(CVE-2020-1938)CVE-2020-1938又名GhostCatApacheTomcat服务器中被发现存在文件包含漏洞,攻击者可利用该漏洞读取或包含Tomcat上所有webapp目录下的任意文件该漏洞是一个单独的文件包含漏洞,依赖于Tomcat的AJP(定向包协议)。AJP自身存在一定缺陷,由于Tomcat在处理AJP请求时,未对请求做任何验证,通过设置A
Ocean:)·2021-11-07 22:43

Java安全-Tomcat任意文件写入(CVE-2017-12615)漏洞复现

Tomcat任意文件写入(CVE-2017-12615)当Tomcat运行在Windows主机上,且启用了HTTPPUT请求方法,攻击者通过构造的攻击请求向服务器上传包含任意代码的JSP文件,可造成任意代码执行受影响版本:Tomcat7.0.0–7.0.79(7.0.81修复不完全)漏洞前提:开启PUT上传(修改web.xml配置文件开启PUT上传)、web.xml中readOnly属性为fals
Ocean:)·2021-11-07 16:25

Java安全-注入漏洞(SQL注入、命令注入、表达式注入、模板注入)

文章目录注入SQL注入JDBC拼接不当造成SQL注入框架使用不当造成SQL注入不安全的反射命令注入代码注入表达式注入Spel表达式注入OGNL表达式注入模板注入注入SQL注入JDBC拼接不当造成SQL注入JDBC有两种方法执行SQL语句,分别为PrepareStatement和Statement。两个方法的区别在于PrepareStatement会对SQL语句进行预编译,而Statement方法在
Ocean:)·2021-11-07 16:10

Java安全-入门篇开发基础(Maven、JavaMVC、反射、类加载、代码远程调试)

在学习Java安全之前首先对Java开发的基础知识简单学习文章目录基础知识核心技术介绍MavenJavaMVCServletFiiter反射类加载远程调试基础知识因为Java体系比较庞大,没有学过Java
Ocean:)·2021-11-05 10:32

Java安全之Thymeleaf SSTI分析

Java安全之ThymeleafSSTI分析写在前面文章首发:https://www.anquanke.com/post/id/254519最近看了一遍Thymeleaf,借此机会学习一下Thymeleaf
CoLoo·2021-11-04 13:00

反序列化漏洞复现总结

1、ApacheShiro介绍ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
kali_Ma·2021-10-14 19:51

springboot整合Shiro

Shiro导入依赖javaConfigRealmControllerShiro整合thymeleaf导入依赖HTML页面命名空间使用举例总结什么是ShiroApacheShiro是一个功能强大且易于使用的Java
·2021-09-11 12:18

详解java安全编码指南之可见性和原子性

目录不可变对象的可见性保证共享变量的复合操作的原子性保证多个Atomic原子类操作的原子性保证方法调用链的原子性读写64bits的值不可变对象的可见性不可变对象就是初始化之后不能够被修改的对象,那么是不是类中引入了不可变对象,所有对不可变对象的修改都立马对所有线程可见呢?实际上,不可变对象只能保证在多线程环境中,对象使用的安全性,并不能够保证对象的可见性。先来讨论一下可变性,我们考虑下面的一个例子
·2021-08-27 13:59

浅谈Java安全编码之文件和共享目录的安全性

目录一、linux下的文件基本权限二、linux文件的特殊权限2.1、SetUID和SetGID2.2、StickyBit2.3、SUID/SGID/SBIT权限设置三、文件隐藏属性四、特殊文件五、java中在共享目录中使用文件要注意的问题六、安全目录一、linux下的文件基本权限chmod是linux下面的权限管理命令,我们可以通过chmod来对文件的权限进行修改。普通文件的权限有三种,rwx分
·2021-08-24 19:55

SpringBoot整合Shiro实现权限控制的代码实现

1、SpringBoot整合ShiroApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
·2021-07-28 16:58

shiro基础【01】

ApacheShiro(发音为“shee-roh”,日文为'castle')是一个功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,并可用于保护任何应用程序-从命令行应用程序,
gaoshengchao·2021-06-27 04:53

浅谈java安全编码指南之死锁dead lock

目录不同的加锁顺序使用private类变量使用相同的Order释放掉已占有的锁不同的加锁顺序我们来看一个不同加锁顺序的例子:publicclassDiffLockOrder{privateintamount;publicDiffLockOrder(intamount){this.amount=amount;}publicvoidtransfer(DiffLockOrdertarget,inttra
·2021-06-22 15:41

Shiro入门教程

简介Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理。Shiro首要的和最重要的目标就是容易使用并且容易理解。
Real_man·2021-06-14 23:58

shiro RememeberMe 1.2.4反序列化漏洞

Shiro简介:shiro(Java安全框架):apacheshiro是一个强大且易用的java安全框架框架,执行身份验证、授权、密码和会话管理。
7hang_·2021-06-09 14:32

浅谈java安全编码指南之堆污染

产生堆污染的例子有同学可能会问了,既然JDK5引入了泛型,为什么还会出现堆污染呢?这是一个好问题,让我们看一个例子:publicvoidheapPollution1(){ListnormalList=Arrays.asList("www.flydean.com",100);ListintegerList=normalList;}上面的例子中,我们使用Arrays.asList创建了一个普通的Lis
·2021-06-07 12:04

JAVA生成X509证书

Java生成RSA密钥对的两种方法:1、RSAPublicKeySpec和RSAPrivateCrtKeySpec这两个API是JAVA安全模块自带的API,可以查看API的相关说明:publicRSAPublicKeySpec
wlyhl·2021-06-07 03:30

SpringBoot + Shiro + Vue 前后端分离的权限管理

首先ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
灬不笑猫丶·2021-06-06 15:13

【漏洞分析】S2-032远程代码执行漏洞分析

0x01前言最近在学习java安全,第一个目标就是Struts了,准备找一些比较典型的Struts漏洞进行一系列的分析。
Pino_HD·2021-06-05 17:34

Java安全之Filter权限绕过的实现

前言在一些需要挖掘一些无条件RCE中,大部分类似于一些系统大部分地方都做了权限控制的,而这时候想要利用权限绕过就显得格外重要。在此来学习一波权限绕过的思路。0x01权限控制实现常见的实现方式,在不调用SpringSecurity、Shiro等权限控制组件的情况下,会使用Filter获取请求路径,进行校验。编写一个servletpackagecom.nice0e3;importjavax.servl
·2021-05-24 12:16

Shiro

ShiroShiro是一款由apache开发的java安全框架,特点是简便易用。主要功能:身份认证,授权,会话管理,加密。支持特性:web支持,并发支持,测试支持,用户伪装,用户记忆。
zsj0310·2021-05-13 19:47

Spring集成Shiro

Shiro是一个简单易用的Java安全框架,Shiro对JavaBean的兼容性使得Shir
Real_man·2021-05-11 09:21

如何实现登录、URL和页面按钮的访问控制

Shiro框架是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理,对于Shiro的介绍这里就不多说。
若丨寒·2021-05-04 15:42

Java安全框架——Shiro的使用详解(附springboot整合Shiro的demo)

Shiro简介ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理三个核心组件:Subject,SecurityManager和RealmsSubject代表了当前用户的安全操作
·2021-04-18 23:21

Servlet学习笔记

4、服务器上的Java安全管理器执行了一系列限制,以保护服务器计算机上的
吹破天·2021-04-14 02:01

Java安全之基于Tomcat实现内存马

Java安全之基于Tomcat实现内存马0x00前言在近年来红队行动中,基本上除了非必要情况,一般会选择打入内存马,然后再去连接。
nice_0e3·2021-04-06 17:00

shiro学习基础(一)之ee例子

引用自百度百科,如下:ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的AP
傻藏·2021-02-09 15:52

应用安全开发规范(JAVA安全编码指南)

1目的通过对主流的WEB高危漏洞表现形式和危害介绍,增强WEB应用开发人员的安全意识;以WEB应用开发安全原则和解决方案规范开发过程中的安全控制,推动开发人员编写强壮安全的代码。3名词解释1)CrossSiteScript(XSS)跨站脚本攻击:攻击者利用应用程序的动态展示数据功能,在html页面里嵌入恶意代码。当用户浏览该页之时,这些嵌入在html中的恶意代码会被执行,用户浏览器被攻击者控制,从
果汁凉茶丶·2021-01-11 14:45

Java安全的发布对象

安全发布对象在静态初始化函数中初始化一个对象引用将对象的引用保存到volatile类型域或者AtomicReference对象中将对象的引用保存到某个正确构造对象的final类型域中将对象的引用保存到一个由锁保护的域中Spring框架中,Spring管理的类都是单例模式。如何保证一个实例只被初始化一次,且线程安全?通过不同单例的写法,具体描述安全发布对象的四种方法:在静态初始化函数中初始化一个对象
入门小站·2021-01-04 01:51

Java安全的发布对象

安全发布对象在静态初始化函数中初始化一个对象引用将对象的引用保存到volatile类型域或者AtomicReference对象中将对象的引用保存到某个正确构造对象的final类型域中将对象的引用保存到一个由锁保护的域中Spring框架中,Spring管理的类都是单例模式。如何保证一个实例只被初始化一次,且线程安全?通过不同单例的写法,具体描述安全发布对象的四种方法:在静态初始化函数中初始化一个对象
入门小站·2021-01-04 00:37

java权限框架_Java高级工程师必备技术栈-由浅入深掌握Shiro权限框架

权限系统在任何一个系统中都存在,随着分布式系统的大行其道,权限系统也趋向服务化,对于一个高级工程师来说,权限系统的设计是必不可少需要掌握的技术栈ApacheShiro™是一个功能强大且易于使用的Java
weixin_39832448·2020-12-25 20:05

Java安全之Shiro 550反序列化漏洞分析

Java安全之Shiro550反序列化漏洞分析首发自安全客:Java安全之Shiro550反序列化漏洞分析0x00前言在近些时间基本都能在一些渗透或者是攻防演练中看到Shiro的身影,也是Shiro的该漏洞也是用的比较频繁的漏洞
nice_0e3·2020-12-24 11:00

“Java 安全” 学习笔记 - 2

12/11/20202阅读自:p牛“Java安全漫谈-02.反射篇(2)”java的普通类c1中支持编写内部类c2,而在编译的时候,会生成两个文件:C1.class和C1$C2.class,我们可以把他们看作两个无关的类
Z1ng3r·2020-11-16 10:21

“Java 安全” 学习笔记 - 1

11/11/2020阅读自:p牛“Java安全漫谈-01.反射篇(1)”反射是大多数语言必不可少的部分,对象可通过反射获取其他的类,类可以通过反射拿到所有的方法(包括私有),拿到的方法可以调用。
Z1ng3r·2020-11-13 14:03

java安全编码指南之:死锁dead lock

简介java中为了保证共享数据的安全性,我们引入了锁的机制。有了锁就有可能产生死锁。死锁的原因就是多个线程锁住了对方所需要的资源,然后现有的资源又没有释放,从而导致循环等待的情况。通常来说如果不同的线程对加锁和释放锁的顺序不一致的话,就很有可能产生死锁。不同的加锁顺序我们来看一个不同加锁顺序的例子:publicclassDiffLockOrder{privateintamount;publicDi
阿里云云栖号·2020-11-13 11:59

Java安全之JNDI注入

Java安全之JNDI注入文章首发:Java安全之JNDI注入0x00前言续上篇文内容,接着来学习JNDI注入相关知识。JNDI注入是Fastjson反序列化漏洞中的攻击手法之一。
nice_0e3·2020-11-11 12:00

Java安全之Commons Collections6分析

Java安全之CommonsCollections6分析0x00前言其实在分析的几条链中都大致相同,都是基于前面一些链的变形,在本文的CC6链中,就和前面的有点小小的区别。
nice_0e3·2020-10-28 18:00

BCEL ClassLoader去哪了?

但是,我前几天在写《Java安全漫谈》的时候,偶然发现我环境中的com.sun.org.apache.bcel.internal.util.ClassLoader类找不到了,本文就带大家来找找BCELClassLoader
落沐萧萧·2020-10-26 12:37

SpringBoot2教程(五)整合Shiro

+Maven3.3.9+SpringBoot2.0.4+Mybatis3+Shiro+H2+Eclipse注意:使用了H2嵌入式内存模式的数据库二、Shiro简介ApacheShiro是一个强大易用的Java
课间指针·2020-10-20 20:11

尚硅谷2020最新版宋红康JVM教程-中篇-第4章:再谈类的加载器-06-08

沙箱安全机制前言沙箱安全机制保证程序安全保护Java原生的JDK代码Java安全模型的核心就是Java沙箱(sandbox)。什么是沙箱?沙箱是一个限制程序运行的环境。
zgcadmin·2020-10-18 16:36

Java安全之Commons Collections1分析(三)

Java安全之CommonsCollections1分析(三)0x00前言继续来分析cc链,用了前面几篇文章来铺垫了一些知识。在上篇文章里,其实是硬看代码,并没有去调试。因为一直找不到JDK的低版本。
nice_0e3·2020-10-11 17:00
上一页 3 4 5 6 7 8 9 10 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他