Java安全之JNDI注入 文章首發：Java安全之JNDI注入 0x00 前言 續上篇文內容，接着來學習JNDI注入相關知識。JNDI注入是Fastjson反序列化漏洞中的攻擊手法之一。 0x01 JNDI 概述 JNDI(Java Naming and Directory ...

一、什么是預編譯？ 預編譯是做些代碼文本的替換工作。是整個編譯過程的最先做的工作 通過上面的解釋可能還是不太理解預編譯，通俗簡單的說在程序真正執行一段代碼之前，我們對要執行的代碼做一些特定的處理，來達到我們后期所想要達到的一個效果 二、為什么預編譯能防止SQL注入 ...

本文由紅日安全成員： Aixic 編寫，如有不當，還望斧正。 大家好，我們是紅日安全-Web安全攻防小組。此項目是關於Web安全的系列文章分享，還包含一個HTB靶場供大家練習，我們給這個項目起了一個名字叫 Web安全實戰 ，希望對想要學習Web安全的朋友們有所幫助。每一篇文章都是於基於漏洞簡介 ...

目錄 JWT介紹 JWT的定義 JWT的由來 JWT的構成 Header Payload Signature JWT和Token的區別 JWT使用方式 JWT ...

一、前言 在如今，微服務架構越來越流行了，項目也越來越多采用前后端項目分離，一般在權限控制中采用JWT進行處理。 二、JWT介紹 JWT是一種認證協議是最后輸出為token,然后把token進行傳到客戶端，客戶端訪問api通過filter解析token,獲得jwt中的信息，進行判斷操作 ...

目錄 簡介 SQL注入 java中的SQL注入 使用PreparedStatement XML中的SQL注入 XML注入的java代碼 簡介 注入問題是安全中一個非常常見的問題，今天我們來探討一下java中的SQL注入和XML注入的防范 ...

前言：自己最近在測試的時候，雖然大多碰到的都是基於非對稱加密的，但是也有碰到通過對稱加密來進行實現的，不管是非對稱和對稱，先了解JWT的安全問題將大大有利於我們對JWT的攻擊！ 參考文章：https://www.cnblogs.com/r00tuser/p/12513046.htm ...

摘要：當web工程比較大，歷史代碼較多時， 應當使用log4j2框架的能力來修改日志注入問題，而不是按照有些博文里寫的逐個進化參數的方式。 案例故事 某個新系統上線了，小A在其中開發了個簡單的登錄模塊，會在日志里記錄所有登錄成功或者失敗的用戶。 小A對用戶名都做了白名單校驗，不正確 ...