使用静态代码审计工具 工具原理
rips Cobra
最原始工具使用正则表达式 后期的工具原理:抽象语法树 AST树 token流
找到过的漏洞
1.逻辑漏洞
2.编码造成的漏洞
3.第三方组件漏洞
条件竞争漏洞
java反序列化漏洞的形成原因,具体是哪些类库造成的,和漏洞触发条件等
如果是我回答:我会先说java反序列化是什么 危害性 然后再说使用了哪些类
序列化就是把类变量变成字节序列
反序列化就是把字节序列变成类变量 序列化主要出现在远程输送数据 因为反序列化可以把字节序列变成类,所以如果输入的是一些比较危险的类比如可以执行系统函数的Runtime.getRuntime().exec()这种就会造成很大危害。
相关类:ObjectOutputStream类 —> writeObject() 序列化
ObjectInputStream类 —> readObject() 反序列化
实现Serializable和Externalizable接口的类的对象才能被序列化
struts2漏洞的原理,这种漏洞触发的根本原因是什么?struts2漏洞的原理,这种漏洞触发的根本原因是什么?
问:平时做java做过哪些java开发。有没有接触过单点登录?怎样去实现单点登录,跨域之间怎样实现单点登陆。
有没有了解java的一些常用框架,以及java自带的一些安全处理类。
java常用框架有
SpringMVC:基于MVC设计模式的请求驱动类型的轻量级Web框架
SSH:Struts2+Spring+Hibernate三个开源框架整合而成。后因Struts2爆出众多高危漏洞,导致目前SSM逐渐代替SSH成为主流开发框架的选择。
SSM:SpringMVC+Spring+Mybatis
SecurityManager:它为其他Java API提供相应的接口,使之可以检查某项操作能否执行,充当了安全管理器的角色。
若有收获,就点个赞吧
0 人点赞
