WebGoat需要java环境，所以需要先安装jdk，并配置相应的环境变量，具体步骤如下： 1、jd ...

WebGoat-JWT JWT Tokens 01 概念 本课程将介绍如何使用JSON Web Token(JWT)进行身份验证，以及在使用JWT时需要注意的常见陷阱。 目标 教授如何安全地实现令牌的使用和这些令牌的验证。 介绍 许多应用程序使用JSON Web令牌(JWT)来允许 ...

在开发过程中，优秀的源代码扫描工具可以帮助我们快速扫描漏洞，高效完成源代码缺陷修复。少漏报和误报率低的工具是我们的首选，我最近试用了许多源代码扫描工具和方案，其中DMSCA（端玛科技企业级源代码安全和质量缺陷扫描分析服务平台），我发现扫描效果很不错，是一款最能解决软件安全问题的工具，下面为做开发 ...

首发于freebuff。 WebGoat-Insecure Deserialization Insecure Deserialization 01 概念 本课程描述了什么是序列化，以及如何操纵它来执行不是开发人员最初意图的任务。 目标 1、用户应该对Java编程语言有基本的了解 ...

Java审计之文件操作漏洞篇 0x00 前言 本篇内容打算把Java审计中会遇到的一些文件操作的漏洞，都给叙述一遍。比如一些任意文件上传，文件下载，文件读取，文件删除，这些操作文件的漏洞。 0x01 文件上传漏洞 RandomAccessFile类上传文件案例： 这里并没有校验 ...

代码执行漏洞代码执行漏洞是指应用程序本身过滤不严，用户可以通过请求将代码注入到应用中执行，当应用在调用一些能将字符串转化成代码的函数(如php中的eval)时，没有考虑到用户是否能控制这个字符串，造成代码注入。挖掘思路：存在可执行代码的危险函数，用户能控制函数的输入。常见危险函数eval ...

黑盒测试的测试方法有：等价类划分、边界值分析法、猜错法、随机数法、因果图。 白盒测试的测试方法有：代码检查法、程序变异、静态结构分析法、静态质量度量法、符号测试法、逻辑覆盖法、域测试、Z路径覆盖和基本路径测试法。 ...

一、事件起因 一次师兄让我检测一下他们开发的网站是否有漏洞，网站是php开发的，最近一直搞java，正好最近有场CTF要打，就顺便看看php. 二、获取源码 仔细看他给我发的那张图片，360给这个网站53的评分，仔细看网站存在.git文件泄露，直接用Githack拿到源码。 三、确定 ...