第一篇Java代码审计文章,有不足之处还请指正。 MCMS 的代码比价简明易懂,作为审计的第一篇比较合适。 MCMS 5.2.8是使用springboot+mybatis开发的CMS,已知漏洞主要是SQL注入、文件上传、SSTI,在最新版已经得到修复。 本文主要体现思路,有些地方可能不够详细。 XSS ...
【摘要】 环境搭建:代码审计:1.xss漏洞我们找到 net.mingsoft.basic.filter.XssHttpServletRequestWrapper并添加断点,再次触发漏洞,看到一个完整的调用栈,net/mingsoft/basic/filter/XssHttpServletRequestWrapper.javathrow new BusinessException("参数异常:"+ c... 环境搭建: 代码审计: 1.xss漏洞 我们找到 net.mings...