分类: READING

4 篇文章

thumbnail
《Java代码审计》——常见漏洞代码审计
CSRF 一般需要先检查框架对CSRF的防护方案,包括请求是否有token、csrf-token等关键字,是否存在替换token值并重复请求漏洞、重复使用token、对referer校验等漏洞。 对Referer过滤不严导致的CSRF漏洞 String referer = request.getHeader("Referer"); if ((ref…
thumbnail
《Java代码审计》—— Java EE
Java EE 分层模型 Domain Object(领域对象)层:本层有一系列普通的、传统的Java对象(POJO)组成,这些对象是该系统的Domain Object,通常包含各自所需实现的业务逻辑方法。DAO(Data Access Object,数据访问对象)层:有一系列DAO组件组成,DAO实现了对数据库的创建、查询等操作。Service(…
thumbnail
《Java代码审计》——远程调试
Jar包本地远程调试 新建项目,添加jar包到lib文件夹中,选择Add as Library...反编译jar包文件。 配置Configuration 打下断点,在当前目录下运行 java -jar -agentlib:jdwp=transport=dt_socket,server=y,suspend=y,address=5005 stegsol…