对于 Java Application 和 JUnit 类型的覆盖测试,我们可以在配置对话框中选中“In-place instrumentation”项来指定直接修改 Workspace 中的 .class 文件和 .jar 文件。 结论 本文通过一个简单的例子介绍了使用 EclEmma 进行覆盖测试的基本过程。EclEmma 允许软件工程师/测试工程师方便的考察测试的覆盖率,并能将测试结果...
51CTO博客已为您找到关于Java Sec Code 搭建的相关内容,包含IT学习相关文档代码介绍、相关教程视频课程,以及Java Sec Code 搭建问答内容。更多Java Sec Code 搭建相关解答可以来51CTO博客参与分享和学习,帮助广大IT技术人实现成长和进步。
借用Java Sec Code官方的话:对于学习Java漏洞代码来说,Java Sec Code是一个非常强大且友好的项目 1.环境配置: 官方提供了多种搭建环境的方式,既然是代码审计,为了看代码方便本文选择IDEA的搭建方式 git clone https://github.com/JoyChou93/java-sec-code.git克隆项目到本地。 直接在idea中打开项目,Maven可以与...
可以看到jdbc_sqli_vul函数直接传入的username就拼接到了sql中,然后取执行返回信息,没有做任何防护。 jdbc_sqli_sec再来看看安全的查询函数 这里用到了PreparedStatement,是java.sql包中的接口,继承了Statement,包含已编译的 SQL 语句。 PreparedStatement st = con.prepareStatement(sql);是把该sql语句进行预编译, 这里...
回到java-sec-code项目代码,查看模板注入漏洞演示代码velocity方法,模板参数template由前端传入未做任何过滤,当攻击者传入精心构造的代码时就会造成命令执行,使用payload:http://localhost:8080/ssti/velocity?template=%23set($e=%22e%22);$e.getClass().forName(%22java.lang.Runtime%22).getMethod(%22getRuntim...
spring.datasource.url=jdbc:mysql://127.0.0.1:3306/java_sec_code spring.datasource.username=root spring.datasource.password=woshishujukumima Docker IDEA Tomcat JAR Start docker: docker-compose pull docker-compose up Stop docker: docker-compose down ...
配置uri白名单和请求头的白名单:https://github.com/JoyChou93/java-sec-code/commit/72a54fa5dfe5d91a13090d18b9c25114ea0e4f9a 描述 使用spring-security自带的csrf模块 + thymeleaf模板进行csrf校验。 测试 访问http://localhost:8080/csrf/,点击submit,提示CSRF passed.,标识csrf校验通过。此时可以看到源代码...
get("D:\\Codes\\Java\\javasec\\CC\\target\\classes\\pojo\\Calc.class")); byte[][] codes = {code}; bytecodesField.set(templates,codes); Field tfactoryField = templatesClass.getDeclaredField("_tfactory"); tfactoryField.setAccessible(true); tfactoryField.set(templates,new Transformer...
以下代码均出于:java-sec-code/XXE.java at master · JoyChou93/java-sec-code (github.com) 6.1 XMLReader try { String body = WebUtils.getRequestBody(request); logger.info(body); XMLReader xmlReader = XMLReaderFactory.createXMLReader(); xmlReader.parse(new InputSource(new StringReader(body)))...
若业务需求和请求来源并非固定,那么可以自己写一个 ssrfCheck 函数,如:https://github.com/JoyChou93/java-sec-code/blob/master/src/main/java/org/joychou/security/SSRFChecker.java 0x04 实际案例(CVE-2019-9827)分析 1、案例介绍 CVE 地址:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-982...