前言 在java中，操作SQL的主要有以下几种方式： • java.sql.Statement • java.sql.PrepareStatment • 使用第三方ORM框架，MyBatis或者Hibernate java.sql.Statement java.sql.statement是最原始 ...

中有个师傅说有前台sql注入。 那么我就来找找前台的sql注入吧，虽说是java但其实代码审计的点都是 ...

0x00概况说明 0x01报错注入及利用 环境说明 kali LAMP 0x0a 核心代码 现在注入的主要原因是程序员在写sql语句的时候还是通过最原始的语句拼接来完成，另外SQL语句有Select、Insert、Update和Delete四种类型，注入也是对这四种 ...

Java 审计之XXE篇 0x00 前言 在以前XXE漏洞了解得并不多，只是有一个初步的认识和靶机里面遇到过。下面来 深入了解一下该漏洞的产生和利用。 0x01 XXE漏洞 当程序在解析XML输入时，允许引用外部实体，导致能够引用一个外部恶意文件，可导致执行系统命令，内网端口检测，文件读取 ...

Java 审计之SSRF篇 0x00 前言 本篇文章来记录一下Java SSRF的审计学习相关内容。 0x01 SSRF漏洞详解 原理： 服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。 大部分的web服务器架构中，web服务器自身都可以访问互联网和服务器所在 ...

Java审计之XSS篇 0x00 前言 继续 学习一波Java审计的XSS漏洞的产生过程和代码。 0x01 Java 中XSS漏洞代码分析 xss原理 xss产生过程： XSS代码分析 在php里面会使用echo对用户输入的参数进行直接输出，导致了xss漏洞的产生。而在Java ...

管中窥豹——框架下的SQL注入 Java篇 背景 SQL注入漏洞应该算是很有年代感的漏洞了，但是现在依然活跃在各大漏洞榜单中，究其原因还是数据和代码的问题。 SQL 语句在DBMS系统中作为表达式被解析，从存储的内容中取出相应的数据， 而在应用系统中只能作为数据进行处理 ...

0x00 背景 SQL注入是一种常见Web漏洞，所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。本文以代码审计的形式研究SQL注入原理、挖掘形式、防御方案及缺陷。 0x01 SQL注入产生原理 SQL注入 ...