源码审计 第2页
排序
一文吃透 Java SSRF:原理 + 审计 + 绕过 + 防御
🛡️ Java SSRF 源码审计全解 🚩 什么是 SSRF? SSRF(Server-Side Request Forgery,服务器端请求伪造),攻击者通过控制服务端发送请求目标,从而访问本应服务器内部可见的资源。 📌 审计原则...
别再只测 1+1!SpEL 注入黑盒实战还有这些高阶姿势
🔍 SpEL 黑盒探测不止靠 1+1,还可以这样搞! 提到 SpEL 注入,很多人黑盒测试的第一反应就是试试 1+1 看看会不会变成 2。但真正在实战中,SpEL 的“藏身之处”远不止那么简单!它可能伪装在表...
FastJSON 反序列化到底干了啥?一文看懂它是如何利用反射机制的!
🔍 剖析FastJSON 反序列化是如何利用的反射机制 📌 一、反序列化是什么? 反序列化(Deserialization):将字符串形式的数据(如 JSON)转成 Java 对象的过程。 举个例子,有一个 Java 类: p...
一文吃透文件上传漏洞!路径遍历、后缀绕过、ZIP炸弹全解析
🔍 文件上传漏洞Java源码审计详解(附代码分析) 文件上传是 Web 应用中极其常见的功能,但一旦实现不当,极易造成严重漏洞,如:上传 WebShell、任意文件写入、远程命令执行等。本篇将从源码审...
Java XXE 防护实战:常见漏洞场景与防御代码全收录
🛡️ Java XXE 防护示例与详解 本文件涵盖常见 Java XML 解析器的 XXE 安全配置方法,适用学习和辅助判断审计目标是否存在XXE问题: 💥 默认行为 ⚠️ 潜在风险 ✅ 防护方式 👨💻 防护代码 📘...
Nashorn:潜伏在Java中的JavaScript命令执行后门
☢️ Java 类对象的 JavaScript 引擎 —— Nashorn 🧠 什么是 Nashorn? Nashorn 是 Oracle 在 Java 8 引入的 JavaScript 引擎,用于在 Java 应用中嵌入执行 JavaScript 代码。它支持调用 Java ...
深入解析Java源码中的SQL注入风险,全流程案例 + 详细代码剖析
🔥 Java源码SQL注入深入解析(含详细代码说明) 📖 一、引言 SQL 注入漏洞长期占据 OWASP Top 10,其危害性与利用难度使其成为红队渗透中最常见的突破口之一。Java 作为主流后端语言,其常见的...
SpEL 注入全网最通俗解释!看完源码审计轻松拿下!
🌱 什么是 SpEL 注入? SpEL 全称是 Spring Expression Language(Spring 表达式语言),是 Spring 框架中的一种表达式语法,用来在 Java 代码或配置中动态计算值。 SpEL 注入就是攻击者通过构...
注解中的 SpEL 表达式执行原理与注入风险详解
🚨注解中的 SpEL 表达式执行原理与注入风险详解 —— 从 @Value 到 @PreAuthorize,揭开注解里的动态表达式黑盒 🧩 一、概述 Spring 中很多注解都支持 SpEL 表达式(Spring Expression Language...
Java命令执行关键词汇总清单
✅ 类型汇总: 类型描述🔥 直接命令执行点Runtime.exec(), ProcessBuilder.start() 等🧠 动态语言执行器JavaScript/Groovy 脚本执行,带 eval() 或 .execute()🧩 第三方库执行点CommandLine, De...
