CSRF 一般需要先检查框架对CSRF的防护方案,包括请求是否有token、csrf-token等关键字,是否存在替换token值并重复请求漏洞、重复使用token、对referer校验等漏洞。 对Referer过滤不严导致的CSRF漏洞 String referer = request.getHeader("Referer"); if ((ref…
注入 SQL注入 JDBC拼接不当造成SQL注入 JDBC有两种方法执行SQL语句,分别为PrepareStatement和Statement。 Statement对象的SQL注入 String sql = "select * from user where id = " + req.getParameter("id"); System.out.p…
Java EE 分层模型 Domain Object(领域对象)层:本层有一系列普通的、传统的Java对象(POJO)组成,这些对象是该系统的Domain Object,通常包含各自所需实现的业务逻辑方法。DAO(Data Access Object,数据访问对象)层:有一系列DAO组件组成,DAO实现了对数据库的创建、查询等操作。Service(…
Jar包本地远程调试 新建项目,添加jar包到lib文件夹中,选择Add as Library...反编译jar包文件。 配置Configuration 打下断点,在当前目录下运行 java -jar -agentlib:jdwp=transport=dt_socket,server=y,suspend=y,address=5005 stegsol…