JAVA安全-目录遍历访问控制XSS等安全问题
JAVA安全-目录遍历访问控制XSS等安全问题
本次直播注重代码分析,熟悉javaweb开发结构,掌握javaweb代码审计流程,其次才是相关漏洞解释(因前期漏洞原理已基本讲解完毕),通过本次直播大家务必学会分析相关代码路径,结构,框架等知识点。
#文件上传配合目录遍历 覆盖文件自定义文件存储地址-基于用户名存储问题
#代码解析及框架源码追踪:
第一关:
Payload: ../x
第二关:
Payload: ….//x
#不安全登录Insecure Login-基于前端认证
#熟悉代码结构及硕源代码文件
#访问控制对象-逻辑越权
#代码分析过关逻辑
枚举用户参数对应数据库的其他数据信息
role,userid
通过参数值构造URL获取用户更多的信息
WebGoat/IDOR/profile/2342384
#XSS跨站
代码分析结合页面解释过关
#核心知识点:Java代码分析 === Apk_App分析
模块引用(框架,自带等),路由地址,静态文件(html.js等),简易代码理解等
演示案例:
- Javaweb代码分析-目录遍历安全问题
- Javaweb代码分析-前端验证安全问题
- Javaweb代码分析-逻辑越权安全问题
- Javaweb代码分析-XSS跨站安全问题
- 拓展-安卓APP反编译JAVA代码(审计不香吗?)
涉及资源:
https://pan.baidu.com/s/19-w0GeDVYvHH6yRz9cNpGw 提取码:oms7
若有收获,就点个赞吧
0 人点赞
