git clone https://github.com/JoyChou93/java-sec-code&cd java-sec-code Build war package bymvn clean package. Copy war package to tomcat webapps directory. Start tomcat application. Example: http://localhost:8080/java-sec-code-1.0.0/rce/exec?cmd=whoami ...
Code This branch is up to date withdr0op/java-sec-code:master. Java Security Code 介绍 该项目也可以叫做Java Vulnerability Code(Java漏洞代码)。 每个漏洞类型代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里。具体可查看每个漏洞代码和注释。
一、项目背景: Hello-Java-Sec项目为 Github中 一个面向安全开发的 Java漏洞代码审计靶场。 靶场地址:https://github.com/j3ers3/Hello-Java-Sec 本地使用idea部署即可 二、代码审计: 通过阅读代码可知,代码采用 @RequestMap
https://github.com/EmYiQing/CodeInspector/blob/master/src/main/java/org/sec/core/CoreMethodAdapter.java 当我们给两大数据结构中的元素设置内容时,其实就相当于上文的红色 遇到JVM指令后,模拟做出相同的动作,一般情况下这个红色就会传递下去 如果出现类似RETURN的操作,红色不会传递下去,那么我们判断下是否符合指...
若业务需求和请求来源并非固定,那么可以自己写一个 ssrfCheck 函数,如:https://github.com/JoyChou93/java-sec-code/blob/master/src/main/java/org/joychou/security/SSRFChecker.java 0x04 实际案例(CVE-2019-9827)分析 1、案例介绍 CVE 地址:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-982...
For example, an IDEA static code security audit and vulnerability one-click repair plug-in under the momo open source library https://github.com/momosecurity/momo-code-sec-inspector-java Here is a point to add that the Kotlin language can be converted to Java language in IDEA, so that ...
public class ExamJavaCode { /***BPM开始***/ /** *流程发起 * * @param businessId * 业务id,如缺陷登记表中新增记录的主键ID * @param processDefName * 流程定义名称 * @param processInstName * 流程实例名称 * @param userId * 需要调用者传输的参数...
以下代码均出于:java-sec-code/XXE.java at master · JoyChou93/java-sec-code (github.com) 6.1 XMLReader try {String body = WebUtils . getRequestBody ( request );logger . info ( body );XMLReader xmlReader = XMLReaderFactory . createXMLReader ();xmlReader . parse ( new InputSource ( ne...
Start Time: 1657529930 Timeout : 7200 (sec) Verify return code: 0 (ok) Extended master secret: yes 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34. 35. 36. 37. 38....
(1)slave向master发起tcp连接。 (2)master与client建立tcp连接。 (3)master发送ping请求,确认对方是一个redis实例。 (4)slave返回pong。 (5)发送SYNC命令进行同步(master开始执行SYNC命令准备数据) (6)master将RDB文件发送给slave (3)命令:SYNC命令 主服务器器执行BGSAVE命令来生成RDB文件,消耗大量资源...