WebGoat需要java環境，所以需要先安裝jdk，並配置相應的環境變量，具體步驟如下： 1、jd ...

WebGoat-JWT JWT Tokens 01 概念 本課程將介紹如何使用JSON Web Token(JWT)進行身份驗證，以及在使用JWT時需要注意的常見陷阱。 目標 教授如何安全地實現令牌的使用和這些令牌的驗證。 介紹 許多應用程序使用JSON Web令牌(JWT)來允許 ...

在開發過程中，優秀的源代碼掃描工具可以幫助我們快速掃描漏洞，高效完成源代碼缺陷修復。少漏報和誤報率低的工具是我們的首選，我最近試用了許多源代碼掃描工具和方案，其中DMSCA（端瑪科技企業級源代碼安全和質量缺陷掃描分析服務平台），我發現掃描效果很不錯，是一款最能解決軟件安全問題的工具，下面為做開發 ...

首發於freebuff。 WebGoat-Insecure Deserialization Insecure Deserialization 01 概念 本課程描述了什么是序列化，以及如何操縱它來執行不是開發人員最初意圖的任務。 目標 1、用戶應該對Java編程語言有基本的了解 ...

Java審計之文件操作漏洞篇 0x00 前言 本篇內容打算把Java審計中會遇到的一些文件操作的漏洞，都給敘述一遍。比如一些任意文件上傳，文件下載，文件讀取，文件刪除，這些操作文件的漏洞。 0x01 文件上傳漏洞 RandomAccessFile類上傳文件案例： 這里並沒有校驗 ...

代碼執行漏洞代碼執行漏洞是指應用程序本身過濾不嚴，用戶可以通過請求將代碼注入到應用中執行，當應用在調用一些能將字符串轉化成代碼的函數(如php中的eval)時，沒有考慮到用戶是否能控制這個字符串，造成代碼注入。挖掘思路：存在可執行代碼的危險函數，用戶能控制函數的輸入。常見危險函數eval ...

黑盒測試的測試方法有：等價類划分、邊界值分析法、猜錯法、隨機數法、因果圖。 白盒測試的測試方法有：代碼檢查法、程序變異、靜態結構分析法、靜態質量度量法、符號測試法、邏輯覆蓋法、域測試、Z路徑覆蓋和基本路徑測試法。 ...

一、事件起因 一次師兄讓我檢測一下他們開發的網站是否有漏洞，網站是php開發的，最近一直搞java，正好最近有場CTF要打，就順便看看php. 二、獲取源碼 仔細看他給我發的那張圖片，360給這個網站53的評分，仔細看網站存在.git文件泄露，直接用Githack拿到源碼。 三、確定 ...