Java安全

Shiro入门教程

简介Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理。Shiro首要的和最重要的目标就是容易使用并且容易理解。
Real_man·2021-06-14 23:58

shiro RememeberMe 1.2.4反序列化漏洞

Shiro简介:shiro(Java安全框架):apacheshiro是一个强大且易用的java安全框架框架,执行身份验证、授权、密码和会话管理。
7hang_·2021-06-09 14:32

浅谈java安全编码指南之堆污染

产生堆污染的例子有同学可能会问了,既然JDK5引入了泛型,为什么还会出现堆污染呢?这是一个好问题,让我们看一个例子:publicvoidheapPollution1(){ListnormalList=Arrays.asList("www.flydean.com",100);ListintegerList=normalList;}上面的例子中,我们使用Arrays.asList创建了一个普通的Lis
·2021-06-07 12:04

JAVA生成X509证书

Java生成RSA密钥对的两种方法:1、RSAPublicKeySpec和RSAPrivateCrtKeySpec这两个API是JAVA安全模块自带的API,可以查看API的相关说明:publicRSAPublicKeySpec
wlyhl·2021-06-07 03:30

SpringBoot + Shiro + Vue 前后端分离的权限管理

首先ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
灬不笑猫丶·2021-06-06 15:13

【漏洞分析】S2-032远程代码执行漏洞分析

0x01前言最近在学习java安全,第一个目标就是Struts了,准备找一些比较典型的Struts漏洞进行一系列的分析。
Pino_HD·2021-06-05 17:34

Java安全之Filter权限绕过的实现

前言在一些需要挖掘一些无条件RCE中,大部分类似于一些系统大部分地方都做了权限控制的,而这时候想要利用权限绕过就显得格外重要。在此来学习一波权限绕过的思路。0x01权限控制实现常见的实现方式,在不调用SpringSecurity、Shiro等权限控制组件的情况下,会使用Filter获取请求路径,进行校验。编写一个servletpackagecom.nice0e3;importjavax.servl
·2021-05-24 12:16

Shiro

ShiroShiro是一款由apache开发的java安全框架,特点是简便易用。主要功能:身份认证,授权,会话管理,加密。支持特性:web支持,并发支持,测试支持,用户伪装,用户记忆。
zsj0310·2021-05-13 19:47

Spring集成Shiro

Shiro是一个简单易用的Java安全框架,Shiro对JavaBean的兼容性使得Shir
Real_man·2021-05-11 09:21

如何实现登录、URL和页面按钮的访问控制

Shiro框架是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理,对于Shiro的介绍这里就不多说。
若丨寒·2021-05-04 15:42

Java安全框架——Shiro的使用详解(附springboot整合Shiro的demo)

Shiro简介ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理三个核心组件:Subject,SecurityManager和RealmsSubject代表了当前用户的安全操作
·2021-04-18 23:21

Servlet学习笔记

4、服务器上的Java安全管理器执行了一系列限制,以保护服务器计算机上的
吹破天·2021-04-14 02:01

Java安全之基于Tomcat实现内存马

Java安全之基于Tomcat实现内存马0x00前言在近年来红队行动中,基本上除了非必要情况,一般会选择打入内存马,然后再去连接。
nice_0e3·2021-04-06 17:00

shiro学习基础(一)之ee例子

引用自百度百科,如下:ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的AP
傻藏·2021-02-09 15:52

应用安全开发规范(JAVA安全编码指南)

1目的通过对主流的WEB高危漏洞表现形式和危害介绍,增强WEB应用开发人员的安全意识;以WEB应用开发安全原则和解决方案规范开发过程中的安全控制,推动开发人员编写强壮安全的代码。3名词解释1)CrossSiteScript(XSS)跨站脚本攻击:攻击者利用应用程序的动态展示数据功能,在html页面里嵌入恶意代码。当用户浏览该页之时,这些嵌入在html中的恶意代码会被执行,用户浏览器被攻击者控制,从
果汁凉茶丶·2021-01-11 14:45

Java安全的发布对象

安全发布对象在静态初始化函数中初始化一个对象引用将对象的引用保存到volatile类型域或者AtomicReference对象中将对象的引用保存到某个正确构造对象的final类型域中将对象的引用保存到一个由锁保护的域中Spring框架中,Spring管理的类都是单例模式。如何保证一个实例只被初始化一次,且线程安全?通过不同单例的写法,具体描述安全发布对象的四种方法:在静态初始化函数中初始化一个对象
入门小站·2021-01-04 01:51

Java安全的发布对象

安全发布对象在静态初始化函数中初始化一个对象引用将对象的引用保存到volatile类型域或者AtomicReference对象中将对象的引用保存到某个正确构造对象的final类型域中将对象的引用保存到一个由锁保护的域中Spring框架中,Spring管理的类都是单例模式。如何保证一个实例只被初始化一次,且线程安全?通过不同单例的写法,具体描述安全发布对象的四种方法:在静态初始化函数中初始化一个对象
入门小站·2021-01-04 00:37

java权限框架_Java高级工程师必备技术栈-由浅入深掌握Shiro权限框架

权限系统在任何一个系统中都存在,随着分布式系统的大行其道,权限系统也趋向服务化,对于一个高级工程师来说,权限系统的设计是必不可少需要掌握的技术栈ApacheShiro™是一个功能强大且易于使用的Java
weixin_39832448·2020-12-25 20:05

Java安全之Shiro 550反序列化漏洞分析

Java安全之Shiro550反序列化漏洞分析首发自安全客:Java安全之Shiro550反序列化漏洞分析0x00前言在近些时间基本都能在一些渗透或者是攻防演练中看到Shiro的身影,也是Shiro的该漏洞也是用的比较频繁的漏洞
nice_0e3·2020-12-24 11:00

“Java 安全” 学习笔记 - 2

12/11/20202阅读自:p牛“Java安全漫谈-02.反射篇(2)”java的普通类c1中支持编写内部类c2,而在编译的时候,会生成两个文件:C1.class和C1$C2.class,我们可以把他们看作两个无关的类
Z1ng3r·2020-11-16 10:21

“Java 安全” 学习笔记 - 1

11/11/2020阅读自:p牛“Java安全漫谈-01.反射篇(1)”反射是大多数语言必不可少的部分,对象可通过反射获取其他的类,类可以通过反射拿到所有的方法(包括私有),拿到的方法可以调用。
Z1ng3r·2020-11-13 14:03

java安全编码指南之:死锁dead lock

简介java中为了保证共享数据的安全性,我们引入了锁的机制。有了锁就有可能产生死锁。死锁的原因就是多个线程锁住了对方所需要的资源,然后现有的资源又没有释放,从而导致循环等待的情况。通常来说如果不同的线程对加锁和释放锁的顺序不一致的话,就很有可能产生死锁。不同的加锁顺序我们来看一个不同加锁顺序的例子:publicclassDiffLockOrder{privateintamount;publicDi
阿里云云栖号·2020-11-13 11:59

Java安全之JNDI注入

Java安全之JNDI注入文章首发:Java安全之JNDI注入0x00前言续上篇文内容,接着来学习JNDI注入相关知识。JNDI注入是Fastjson反序列化漏洞中的攻击手法之一。
nice_0e3·2020-11-11 12:00

Java安全之Commons Collections6分析

Java安全之CommonsCollections6分析0x00前言其实在分析的几条链中都大致相同,都是基于前面一些链的变形,在本文的CC6链中,就和前面的有点小小的区别。
nice_0e3·2020-10-28 18:00

BCEL ClassLoader去哪了?

但是,我前几天在写《Java安全漫谈》的时候,偶然发现我环境中的com.sun.org.apache.bcel.internal.util.ClassLoader类找不到了,本文就带大家来找找BCELClassLoader
落沐萧萧·2020-10-26 12:37

SpringBoot2教程(五)整合Shiro

+Maven3.3.9+SpringBoot2.0.4+Mybatis3+Shiro+H2+Eclipse注意:使用了H2嵌入式内存模式的数据库二、Shiro简介ApacheShiro是一个强大易用的Java
课间指针·2020-10-20 20:11

尚硅谷2020最新版宋红康JVM教程-中篇-第4章:再谈类的加载器-06-08

沙箱安全机制前言沙箱安全机制保证程序安全保护Java原生的JDK代码Java安全模型的核心就是Java沙箱(sandbox)。什么是沙箱?沙箱是一个限制程序运行的环境。
zgcadmin·2020-10-18 16:36

Java安全之Commons Collections1分析(三)

Java安全之CommonsCollections1分析(三)0x00前言继续来分析cc链,用了前面几篇文章来铺垫了一些知识。在上篇文章里,其实是硬看代码,并没有去调试。因为一直找不到JDK的低版本。
nice_0e3·2020-10-11 17:00

Java安全之Commons Collections1分析(二)

Java安全之CommonsCollections1分析(二)0x00前言续上篇文,继续调试cc链。在上篇文章调试的cc链其实并不是一个完整的链。只是使用了几个方法的的互相调用弹出一个计算器。
nice_0e3·2020-10-10 12:00

java安全编码指南之:lock和同步的正确使用

简介在java多线程环境中,lock和同步是我们一定会使用到的功能。那么在java中编写lock和同步相关的代码之后,需要注意哪些问题呢?一起来看看吧。使用privatefinalobject来作为lock对象一般来说我们在做多线程共享对象的时候就需要进行同步。java中有两种同步方式,第一种就是方法同步,第二种是同步块。如果我们在实例方法中使用的是synchronized关键字,或者在同步块中使
flydean·2020-10-10 12:37

java安全编码指南之:lock和同步的正确使用

目录简介使用privatefinalobject来作为lock对象不要synchronize可被重用的对象不要syncObject.getClass()不要sync高级并发对象不要使用Instancelock来保护static数据在持有lock期间,不要做耗时操作正确释放锁简介在java多线程环境中,lock和同步是我们一定会使用到的功能。那么在java中编写lock和同步相关的代码之后,需要注意
flydean·2020-10-10 08:00

SpringMVC整合Shiro

摘要:SpringMVC整合Shiro,Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。
試毅_思伟·2020-10-09 14:58

java安全编码指南之:可见性和原子性

简介java类中会定义很多变量,有类变量也有实例变量,这些变量在访问的过程中,会遇到一些可见性和原子性的问题。这里我们来详细了解一下怎么避免这些问题。不可变对象的可见性不可变对象就是初始化之后不能够被修改的对象,那么是不是类中引入了不可变对象,所有对不可变对象的修改都立马对所有线程可见呢?实际上,不可变对象只能保证在多线程环境中,对象使用的安全性,并不能够保证对象的可见性。先来讨论一下可变性,我们
阿里云云栖号·2020-10-09 13:04

java安全编码指南之:方法编写指南

简介java程序的逻辑是由一个个的方法组成的,而在编写方法的过程中,我们也需要遵守一定的安全规则,比如方法的参数进行校验,不要在assert中添加业务逻辑,不要使用废弃或者过期的方法,做安全检查的方法一定要设置为private等。今天我们再来深入的探讨一下,java方法的编写过程中还有哪些要注意的地方。不要在构造函数中调用可以被重写的方法一般来说在构造函数中只能调用static,final或者pr
flydean·2020-10-09 13:37

java安全编码指南之:死锁dead lock

简介java中为了保证共享数据的安全性,我们引入了锁的机制。有了锁就有可能产生死锁。死锁的原因就是多个线程锁住了对方所需要的资源,然后现有的资源又没有释放,从而导致循环等待的情况。通常来说如果不同的线程对加锁和释放锁的顺序不一致的话,就很有可能产生死锁。不同的加锁顺序我们来看一个不同加锁顺序的例子:publicclassDiffLockOrder{privateintamount;publicDi
flydean·2020-10-09 13:21

java安全编码指南之:异常处理

简介异常是java程序员无法避免的一个话题,我们会有JVM自己的异常也有应用程序的异常,对于不同的异常,我们的处理原则是不是一样的呢?一起来看看吧。异常简介先上个图,看一下常见的几个异常类型。所有的异常都来自于Throwable。Throwable有两个子类,Error和Exception。Error通常表示的是严重错误,这些错误是不建议被catch的。注意这里有一个例外,比如ThreadDeat
flydean·2020-10-09 13:20

java安全编码指南之:敏感类的拷贝

简介一般来说class中如果包含了私有的或者敏感的数据的时候是不允许被拷贝的。如果一个class不想被拷贝,我们是不是不提供拷贝的方法就能保证class的安全了呢?一起来看看吧。一个简单的SensitiveObject假如我们有下面的一个SensitiveObject,它的作用就是存储一个password,并且提供了一个修改password的方法:publicclassSensitiveObjec
flydean·2020-10-09 13:17

java安全编码指南之:可见性和原子性

简介java类中会定义很多变量,有类变量也有实例变量,这些变量在访问的过程中,会遇到一些可见性和原子性的问题。这里我们来详细了解一下怎么避免这些问题。不可变对象的可见性不可变对象就是初始化之后不能够被修改的对象,那么是不是类中引入了不可变对象,所有对不可变对象的修改都立马对所有线程可见呢?实际上,不可变对象只能保证在多线程环境中,对象使用的安全性,并不能够保证对象的可见性。先来讨论一下可变性,我们
阿里云云栖号·2020-10-09 12:57

深入浅出谈Java安全之URLDNS链

在学习Java的反序列化漏洞的时候,就不得不学习他的一个利用链。很多刚刚入门的对于利用链这个词可能比较陌生。那么这里先来了解一下Java反序列化和反序列化漏洞的一个产生。1|20x01Java反序列化Java提供了一种对象序列化的机制,用一个字节序列表示一个对象,该字节包含对象的数据、对象的类型、对象的存储属性。字节序列写出到文件后,相当于可以持久报错了一个对象信息,这过程叫做序列化。序列化对象会
Java正道的光·2020-10-08 16:09

Java安全之Commons Collections1分析(一)

Java安全之CommonsCollections1分析(一)0x00前言在CC链中,其实具体执行过程还是比较复杂的。建议调试前先将一些前置知识的基础给看一遍。
nice_0e3·2020-10-07 23:00

Java安全之URLDNS链

Java安全之URLDNS链0x00前言在学习Java的反序列化漏洞的时候,就不得不学习他的一个利用链。很多刚刚入门的对于利用链这个词可能比较陌生。
·2020-10-06 00:00

Java安全之Commons Collections1分析前置知识

Java安全之CommonsCollections1分析前置知识0x00前言CommonsCollections的利用链也被称为cc链,在学习反序列化漏洞必不可少的一个部分。
nice_0e3·2020-10-01 18:00

java安全编码指南之:死锁dead lock

目录简介不同的加锁顺序使用private类变量使用相同的Order释放掉已占有的锁简介java中为了保证共享数据的安全性,我们引入了锁的机制。有了锁就有可能产生死锁。死锁的原因就是多个线程锁住了对方所需要的资源,然后现有的资源又没有释放,从而导致循环等待的情况。通常来说如果不同的线程对加锁和释放锁的顺序不一致的话,就很有可能产生死锁。不同的加锁顺序我们来看一个不同加锁顺序的例子:publiccla
·2020-10-01 08:00

java安全编码指南之:异常处理

目录简介异常简介不要忽略checkedexceptions不要在异常中暴露敏感信息在处理捕获的异常时,需要恢复对象的初始状态不要手动完成finallyblock不要捕获NullPointerException和它的父类异常不要throwRuntimeException,Exception,orThrowable不要抛出未声明的checkedException简介异常是java程序员无法避免的一个话
flydean·2020-09-29 09:00

java安全编码指南之:敏感类的拷贝

目录简介一个简单的SensitiveObjectSensitiveObject的限制对SensitiveObject的攻击解决办法简介一般来说class中如果包含了私有的或者敏感的数据的时候是不允许被拷贝的。如果一个class不想被拷贝,我们是不是不提供拷贝的方法就能保证class的安全了呢?一起来看看吧。一个简单的SensitiveObject假如我们有下面的一个SensitiveObject,
flydean·2020-09-28 09:00

java安全编码指南之:可见性和原子性

目录简介不可变对象的可见性保证共享变量的复合操作的原子性保证多个Atomic原子类操作的原子性保证方法调用链的原子性读写64bits的值简介java类中会定义很多变量,有类变量也有实例变量,这些变量在访问的过程中,会遇到一些可见性和原子性的问题。这里我们来详细了解一下怎么避免这些问题。不可变对象的可见性不可变对象就是初始化之后不能够被修改的对象,那么是不是类中引入了不可变对象,所有对不可变对象的修
flydean·2020-09-25 10:00

SpringBoot-狂神(17. SpringBoot整合Shiro)学习笔记

快速入门1.拷贝案例2.分析案例3.SpringBoot集成Shiro1.编写配置文件2.搭建简单测试环境3.使用1.登录拦截2.用户认证3.退出登录1.概述1.简介ApacheShiro是一个强大且易用的Java
yuan_404·2020-09-21 16:37

java安全编码指南之:输入校验

目录简介在字符串标准化之后进行校验注意不可信字符串的格式化小心使用Runtime.exec()正则表达式的匹配简介为了保证java程序的安全,任何外部用户的输入我们都认为是可能有恶意攻击意图,我们需要对所有的用户输入都进行一定程度的校验。本文将带领大家探讨一下用户输入校验的一些场景。一起来看看吧。在字符串标准化之后进行校验通常我们在进行字符串校验的时候需要对一些特殊字符进行过滤,过滤之后再进行字符
flydean·2020-09-21 10:00

java安全编码指南之:堆污染Heap pollution

目录简介产生堆污染的例子更通用的例子可变参数简介什么是堆污染呢?堆污染是指当参数化类型变量引用的对象不是该参数化类型的对象时而发生的。我们知道在JDK5中,引入了泛型的概念,我们可以在创建集合类的时候,指定该集合类中应该存储的对象类型。如果在指定类型的集合中,引用了不同的类型,那么这种情况就叫做堆污染。产生堆污染的例子有同学可能会问了,既然JDK5引入了泛型,为什么还会出现堆污染呢?这是一个好问题
flydean·2020-09-18 10:00

华为java安全编码规范考试(iLearning考题)

华为外包java安全编码规范考试ILearing软件考的,整理不易,收点币!!
做猪呢,最重要的是开森啦·2020-09-17 14:43
上一页 4 5 6 7 8 9 10 11 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他