一、路径遍历 路径遍历是指应用程序接收了未经合理校验的用户参数用于进行与文件读取查看相关操作，而该参数包含了特殊的字符(例如“..”和“/”)，使用了这类特殊字符可以摆脱受保护的限制，越权访问一些受保护的文件、目录或者覆盖敏感数据。本文以JAVA 语言源代码为例，分析路径遍历缺陷及该缺陷产生的原因 ...

JAVA修复XSS漏洞方案一：对于请求中是封装好的对象或者以属性名作为参数的都适用以下解决方案：封装好的对象，如：在这里插入图片描述使用属性名作为参数，如：在这里插入图片描述以/updateRole和/addRole作为例子，这两个方法中都需要对前台输入的参数进行过滤。1.添加过滤器import ...

路径遍历漏洞：文件名可以在客户端任意更改，同时利用服务器的特性，如../进行目录回溯，造成越权访问敏感数据，比如访问../../../etc/passwd存在：一般存在于 文件读取或者图片展示这样的 通过参数提交上来文件名 的功能块上。防护：因此，过滤交互数据时完全有必要的目录遍历漏洞 同时实现 ...

话说，我一直没注意到自己服务器上的apache有目录遍历漏洞，直到我学了web中间件漏洞 这个漏洞存在三个月了，当时是建靶场，在apache默认目录下新建了目录才出现的漏洞 漏洞截图： Ubuntu下apache默认安装目录，将所有<Directory>标签下的indexes ...

=image.jgp 当服务器处理传送过来的image.jpg文件名后，Web应用程序即会自动添加完整路径，形如“d ...

java中禁止外部实体引用的设置方法不止一种，这样就导致有些开发者修复的时候采用的错误的方法 之所以写这篇文章是有原因的！最早是有朋友在群里发了如下一个pdf， 而当时已经是2019年1月末了，应该不是2018年7月份那个引起较大轰动的alipay java sdk的了，我突然虎躯 ...

　　从Java的角度谈下文件下载漏洞的产生，然后到他的修复方案。这里我的修复方案是白名单，而没有采用黑名单的方式。 　　首先先看一段存在文件下载漏洞的代码code: 　　　　HTML视图页面 download.html 　　服务器端验证文件下载代码 ...

　　　　技术实在是有限，讲解cookie越权的时候可能有点简单和粗糙。这里就简单记录学习下。 　　　　首先自己写一段存在漏洞的代码code: 　　　　　　sendCookie.java 　　　　　　　　　　 　　　　　　然后接收cookie中的键值，然后进行判断 ...