Java安全

JAVA安全编码[一]

编程过程中应该时刻保持以下的假设:1.程序所处理的所有外部数据都是不可信的攻击数据2.攻击者时刻试图监听、篡改、破坏程序运行环境、外部数据安全编码基本思想基于以上的假设,得出安全编码基本思想:1.程序在处理外部数据时必须经过严格的合法性校验编程人员在处理外部数据过程中必须时刻保持这种思维意识,不能做出任何外部数据符合预期的假设,外部数据必须经过严格判断后才能使用。编码人员必须在这种严酷的攻击环境下
小熊来了·2020-06-26 17:56

Java进阶(三)Java安全通信:HTTPS与SSL

通过一个系统,接触到了Java安全机制,故作一小节,供朋友们参考学习。
No Silver Bullet·2020-06-26 15:03

漫谈Java反序列化

前言  Java的反序列化漏洞探索出了Java安全的新纪元。开发人员为什么要反序列化呢?众所周知,用户和服务器进行交互时,会传输一下数据,数据传输前需要格式化,将数据转化成服务器认可的格式。
明月清水·2020-06-26 15:37

漫谈Commons-Collections反序列化

Java的第一个反序列化漏洞就是从commons-collections组件中发现的,从此打开了Java安全的新蓝图。官方对commons-collections组件的说明:TheJav
明月清水·2020-06-26 15:37

Java安全编程指南

SQL注入防范SQL注入指利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的攻击方法。Java程序存在SQL注入问题,能通过使用PreparedStatement类来阻止SQL注入。一段可能产生SQL注入的代码如下:Stringuser=request.getParameter("username");Stringpass=request.getParameter("passwor
欧余山南·2020-06-26 12:28

代码审计[java安全编程]

SQL注入介绍注入攻击的本质,是程序把用户输入的数据当做代码执行。这里有两个关键条件,第一是用户能够控制输入;第二是用户输入的数据被拼接到要执行的代码中从而被执行。sql注入漏洞则是程序将用户输入数据拼接到了sql语句中,从而攻击者即可构造、改变sql语义从而进行攻击。漏洞示例一:直接通过拼接sql@RequestMapping("/SqlInjection/{id}")publicModelAn
0x726f6f74·2020-06-25 15:26

Apache Shiro反序列化识别那些事

1.1关于ApacheShiroApacheshiro是一个Java安全框架,提供了认证、授权、加密和会话管理功能,为解决应⽤安全提供了相应的API:认证-⽤用户身份识别,常被称为用户”登录”授权-访问控制密码加密
合天智汇·2020-06-25 13:13

Shiro总结和常见面试题

Shiro总结和常见面试题一、什么是shiroShiro是一个强大易用的java安全框架,提供了认证、授权、加密、会话管理、与web集成、缓存等功能,对于任何一个应用程序,都可以提供全面的安全服务,相比其他安全框架
andyRuiDy·2020-06-25 12:56

【技术分享】SPRING-TX .jar反序列化

0x00反序列化之前对Java一直不太熟悉,不怎么接触Java安全,不了解Java中序列化与反序列化的一些机制,导致很多Java相关的RCE都看不懂,只知道拿来就用,想了想还是要深入了解一下比较好。
qq_27446553·2020-06-25 03:02

JAVA安全加解密API

java中对于加密的支持api都在java.security和javax.crypto包下,主要用到的类有:Cipher主要用于加密行为,如进行AES/DES/RSA等加密行为初始化对象staticCiphergetInstance(Stringtransformation)transformation的组成可以概括为algorithm/mode/padding,algorithm用于指定加密的方
蜡筆尛賢·2020-06-25 02:57

Java Error: 应用程序已被Java安全阻止

我的Java版本是Java8Update31打开OracleE-BusinessSuite报Java安全性错误:错误内容:应用程序已被Java安全阻止出于安全原因,应用程序现在必须满足“高”或“非常高”
田攀·2020-06-24 19:57

Apache Shiro 反序列化漏洞实践

ApacheShiroApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
DarkN0te·2020-06-24 12:25

Spring Boot Actuator 是 Spring Boot 的一个子项目。开发者只需少量工作,就可为应用添加若干种生产级服务。在这篇指南中,你将构建一个应用并学会如何添加这些服务。 你将构

概述本文重点介绍JAVA安全编码与代码审计基础知识,会以漏洞及安全编码示例的方式介绍JAVA代码中常见Web漏洞的形成及相应的修复方案,同时对一些常见的漏洞函数进行例举。
java学习QQ1638812475·2020-06-24 08:28

Shiro权限管理实现(详解)

功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。
gitlee·2020-06-24 08:04

学习资源链接

ExtJs§Sea.js,Vue.js.Node.js编程语言:§Java框架:§Struts§Spring§Springmvc§SpringBoot§SpringCloud§Log4j§Shiro(java
夜未眠shm·2020-06-23 20:57

Apache Shiro 反序列化漏洞实战

目录漏洞原理检测与利用目标发现与寻找漏洞检测利用方式修复建议参考链接ApacheShiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。
insightglacier·2020-06-23 18:47

一分钟手握手教你实现RecyclerView的Item动画

Android程序员面试宝典安全专题Java安全专题一Java安全专题二Java安全专题三Java安全专题四Java安全专题五Java安全专题六Java安全专题七自定义控件一分钟实现贴纸功能一分钟实现TextView
马伟奇·2020-06-23 17:07

【入坑JAVA安全】老公,JNDI注入是什么呀?

0x01前言我们在上一章《攻击rmi的方式》中提到了rmi的一大特性——动态类加载。而jndi注入就是利用的动态类加载完成攻击的。在谈jndi注入之前,我们先来看看关于jndi的基础知识0x02jndi是个啥jndi的全称为JavaNamingandDirectoryInterface(java命名和目录接口)SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同
灰色世界的阿信·2020-06-23 13:38

【入坑JAVA安全】fastjson中的jndi注入

0x01前言前一章简单介绍了jndi注入的知识,这一章主要是分析一下fastjson1.2.24版本的反序列化漏洞,这个漏洞比较普遍的利用手法就是通过jndi注入的方式实现RCE,所以我觉得是一个挺好的JNDI注入实践案例。0x02fastjson反序列化特点不同于我们之前提到的java反序列化,fastjson的序列化有其自身特点,我们通过一些小demo来展示如何使用fastjson。我们常说的
灰色世界的阿信·2020-06-23 13:38

【入坑JAVA安全】Java反射机制

java反射机制给漏洞利用提供了很多便利,我们可以在很多java漏洞的exp中看到它的影子,所以,学习java安全是绕不开它的。0x02前面我们知道
灰色世界的阿信·2020-06-23 13:38

【入坑JAVA安全】手把手教你写反序列化POC

0x01前言前面,我们了解了java的序列化机制,也知道在什么情况下会出现漏洞,为了对反序列化漏洞有个更直观的认识,这里就来说一说存在于apachecommons-collections.jar中的一条pop链,要知道这个类库使用广泛,所以很多大型的应用也存在着这个漏洞,我这里就以weblogiccve-2015-4852来说说反序列化漏洞的具体利用方法。在复现分析cve-2015-4852的过程
灰色世界的阿信·2020-06-23 13:38

【入坑JAVA安全】RMI基础看这一篇就足够了

0x01基本概念RMI的全称是RmoteMethodInvocation,即远程方法调用,具体怎么实现呢?远程服务器提供具体的类和方法,本地会通过某种方式获得远程类的一个代理,然后通过这个代理调用远程对象的方法,方法的参数是通过序列化与反序列化的方式传递的,所以,1.只要服务端的对象提供了一个方法,这个方法接收的是一个Object类型的参数,2.且远程服务器的classpath中存在可利用pop链
灰色世界的阿信·2020-06-23 13:38

【入坑JAVA安全】怎么攻击RMI应用?

0x01前言上一章介绍了rmi的基本概念,以及浅显的提了一下rmi的利用点。这一章将结合具体的代码与实践来讲解攻击rmi的方式。0x02利用反序列化攻击RMI这也是我们在上文中提到的攻击方式,这个攻击有两个前提:rmi服务端提供了接收Object类型参数的远程方法rmi服务器的lib或着说classpath中有存在pop利用链的jar包,例如3.1版本的commons-collections.ja
灰色世界的阿信·2020-06-23 13:38

【入坑JAVA安全】序列化与反序列化

0x01什么是序列化与反序列化?序列化与反序列化的关键函数?反序列化过后的数据有啥特征?java反序列化漏洞与php反序列化漏洞的相似之处?这一章,我们只需要搞清楚前面三个问题就行了,其实java反序列化漏洞的原理很简单,只是各个POP链比较复杂。我会很浅显的介绍一下java的序列化~0x02在我看来,java的序列化机制就是为了持久化存储某个对象或者在网络上传输某个对象。我们都知道,一旦jvm关
灰色世界的阿信·2020-06-23 13:38

apache shiro 1.2.4反序列化漏洞

ApacheShiro简介ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
possib1e·2020-06-23 10:36

大数据安全管理 -- 用户验证与授权1

1.JaaS介绍Java安全框架最初集中在保护用户运行潜在的不可信任代码,是基于代码的来源(URL)和谁创建的代码(certificate)来给移动代码进行授权。
eyoulc123·2020-06-23 06:50

Android混合开发之WebViewJavascriptBridge实现JS与java安全交互

前言:为了加快开发效率,目前公司一些功能使用H5开发,这里难免会用到Js与Java函数互相调用的问题,这个Android是提供了原生支持的,不过存在安全隐患,今天我们来学习一种安全方式来满足Js与java互相调用的需求。它就是WebViewJavascriptBridge。学习动机:先看下之前的解决办法:Android混合开发之WebView与Javascript交互最近棒棒安全的一个市场推广来我
dengzou5556·2020-06-23 03:28

Apache shiro反序列化漏洞

漏洞概述:ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。
SoulCat.·2020-06-23 00:28

Java生成摘要

java安全类库提供了一个java.security.MessageDigest类,此MessageDigest类为应用程序提供信息摘要算法的功能,如MD5或SHA-1算法。
bwf1234·2020-06-22 19:58

【安全开发】java安全编码规范

申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-3-java%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E8%A7%84%E8%8
an0708·2020-06-22 14:04

Shiro + JWT + SpringBoot应用示例代码详解

1.Shiro的简介ApacheShiro是一种功能强大且易于使用的Java安全框架,它执行身份验证,授权,加密和会话管理,可用于保护从命令行应用程序,移动应用程序到Web和企业应用程序等应用的安全。
·2020-06-22 08:04

Apache Shiro 实现认证

ApacheShiro一个功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。
W3Flos·2020-06-22 07:13

java安全——数字签名+代码签名

【0】README1)本文文字描述转自corejavavolume2,旨在学习java安全——数字签名的基础知识;2)本文实践内容以及截图笔记均为原创;3)如果要给予applet更多的信赖,你必须知道下面两件事
PacosonSWJTU·2020-06-22 03:30

软件系统安全性测试列表(Checklist)

article/details/6162078主题项目列表系统安全性及其测试方法软件系统的安全性系统安全规范与标准源代码评审方法基于风险的安全测试渗透性测试方法模糊测试方法代码安全性检验程序代码安全性C++/Java
ISNOW108·2020-06-21 22:05

如何在WebView中让JS与Java安全地相互调用

在现在安卓应用原生开发中,为了追求开发的效率以及移植的便利性,使用WebView作为业务内容展示与交互的主要载体是个不错的折中方案。那么在这种Hybrid(混合式)App中,难免就会遇到页面JS需要与Java相互调用,调用Java方法去做那部分网页JS不能完成的功能。网上的方法可以告诉我们这个时候我们可以使用addjavascriptInterface来注入原生接口到JS中,但是在安卓4.2以下的
idaretobe·2020-06-21 02:07

【入坑JAVA安全】在?进来看看怎么攻击JMX吧

前言这一章我们来说说JMX的安全问题把,内容相对来说比较简单,当然,我们还是回给出几个相关的案例JMX简介JMX(JavaManagementExtensions,即Java管理扩展)是一个为应用程序、设备、系统等植入管理功能的框架。狭隘的理解,我们可以通过JMX管理、监视我们的java程序。但是不是所有java程序都能被管理,只有通过特定实现的java才能够被管理,这种特定实现机制就是Mbean
灰色世界的阿信·2020-06-21 01:05

红队武器库-Apache Shiro 反序列化漏洞

ApacheShiroRememberMe反序列化(Shiro550)ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
god_zZz·2020-06-21 01:25

Java安全框架「shiro」

以下都是综合之前的人加上自己的一些小总结ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。
倔强_beaf·2020-06-21 00:24

Spring Boot整合Shiro实现前后端分离

功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。  
GIT提交不上·2020-06-18 19:44

# 开发安全Java应用程序的13条规则

Java安全性软件包已经过严格的测试,并且经常针对新的安全漏洞进行更新。2017年9月发布的更新的JavaEE安全API解决了云和微服务架构中的漏洞。Java生态系统还包括用于分析和报告安全性问题
wx5ec34112ad3c0·2020-06-12 15:28

Java跨平台原理(字节码文件、虚拟机) 以及Java安全

1.Java跨平台原理(字节码文件、虚拟机)C/C++语言都直接编译成针对特定平台机器码。如果要跨平台,需要使用相应的编译器重新编译。Java源程序(.java)要先编译成与平台无关的字节码文件(.class),然后字节码文件再解释成机器码运行。解释是通过Java虚拟机来执行的。字节码文件不面向任何具体平台,只面向虚拟机。Java虚拟机是可运行Java字节码文件的虚拟计算机。不同平台的虚拟机是不同
SXT明辉·2020-06-07 21:00

SpringBoot11:集成Shiro

Shiro简介ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
对弈·2020-06-02 23:00

springboot+shiro实现权限校验及shiro讲解

shiro简介shiro是Apache旗下提供的一套JAVA安全框架,主要用于权限校验。其
baoaibao·2020-05-12 15:25

基于spring boot 2和shiro实现身份验证案例

Shiro是一个功能强大且易于使用的Java安全框架,官网:https://shiro.apache.org/。主要功能有身份验证、授权、加密和会话管理。
yaominghui·2020-04-23 09:15

JAVA与集合

image.png本篇源自于本人以前的《JAVA安全与并发》一文。因其文太长,所以剔出。
靈08_1024·2020-04-14 12:18

springboot shiro token demo实战项目

简介shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
灰色调诺言·2020-04-14 09:02

【福利】学习渗透测试大福利

一、个人学技术他们有个尊享技术会员安全基础课程:Linux安全、Web安全基础、Python基础、网络安全基础、数据库安全、JAVA安全编码。
kaitoulee·2020-04-13 08:14

02-shiro权限系统-shiro整合

shiro功能及架构简介ApacheShiro是一个强大的Java安全框架,可以实现身份验证、授权、加密和会话等功能,如下图:01-Shiro功能框架图-CHN架构03-shiro架构图.png运行流程
该叫什么昵称好·2020-04-13 02:48

SpringBoot集成Shiro实现权限控制

Shiro简介ApacheShiro是一个功能强大且易于使用的Java安全框架,用于执行身份验证,授权,加密和会话管理。
周周zzz·2020-04-07 16:00

SpringBoot集成Shiro实现多数据源认证授权与分布式会话(一)

项目背景在最近重构后的项目中使用了springboot+shiro的技术栈,shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理.shiro包含三个核心组件subject,
Briseis·2020-03-31 12:16
上一页 10 11 12 13 14 15 16 17 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他