java sec code

El código Java sec es un proyecto muy potente y amigable para aprender el código de vulnerabilidad de Java.

¿中文文档?

Alibaba-Ataque de seguridad y defensa/investigación (P5-P7)

Este proyecto también se puede llamar código de vulnerabilidad Java.

Cada código de tipo de vulnerabilidad tiene una vulnerabilidad de seguridad de forma predeterminada, a menos que no exista ninguna vulnerabilidad. El código de corrección relevante se encuentra en los comentarios o en el código. Específicamente, puede ver cada código de vulnerabilidad y comentarios.

Debido a la caducidad del servidor, el sitio de demostración en línea tuvo que desconectarse.

Nombre de usuario y contraseña de inicio de sesión:

 admin/admin123
joychou/joychou123

Ordenar por letra.

• Actuadores para RCE
• Inyección de comando
• CORS
• Inyección CRLF
• CSRF
• CVE-2022-22978
• Deserializar
• fastjson
• Carga de archivos
• ObtenerRequestURI
• Forja de propiedad intelectual
• RMI de Java
• JSONP
• Log4j
• ooxmlXXE
• recorrido de ruta
• QLExpress
• RCE
  • Tiempo de ejecución
  • Generador de procesos
  • Motor de secuencias de comandos
  • Yaml deserializar
  • maravilloso
• shiro
• Pavonearse
• deletrear
• Inyección SQL
• SSRF
• SSTI
• Redirección de URL
• Omisión de lista blanca de URL
• xlsxStreamerXXE
• XSS
• XStream
• XXE
• JWT

• Actuadores para RCE
• CORS
• CSRF
• Deserializar
• fastjson
• RMI de Java
• JSONP
• POI-OOXML XXE
• SQLI
• SSRF
• SSTI
• Omisión de lista blanca de URL
• XXE
• JWT
• Otros

La aplicación utilizará la autoinyección mybatis. Ejecute el servidor mysql con anticipación y configure el nombre y el nombre de usuario/contraseña de la base de datos del servidor mysql, excepto el entorno acoplable.

 spring.datasource.url=jdbc:mysql://127.0.0.1:3306/java_sec_code
spring.datasource.username=root
spring.datasource.password=woshishujukumima

• Estibador
• IDEA
• Gato
• FRASCO

Iniciar ventana acoplable:

 docker-compose pull
docker-compose up

Detener la ventana acoplable:

 docker-compose down

Entorno de Docker:

• Java 1.8.0_102
• mysql 8.0.17
• Tomcat 8.5.11

• git clone https://github.com/JoyChou93/java-sec-code
• Abra en IDEA y haga clic en el botón run .

Ejemplo:

 http://localhost:8080/rce/exec?cmd=whoami

devolver:

 Viarus

• git clone https://github.com/JoyChou93/java-sec-code & cd java-sec-code
• Construya el paquete war mediante mvn clean package .
• Copie el paquete war al directorio de aplicaciones web de Tomcat.
• Inicie la aplicación Tomcat.

Ejemplo:

 http://localhost:8080/java-sec-code-1.0.0/rce/runtime/exec?cmd=whoami

devolver:

 Viarus

Cambie war a jar en pom.xml .

< groupId >sec</ groupId >
< artifactId >java-sec-code</ artifactId >
< version >1.0.0</ version >
< packaging >war</ packaging >

Construya el paquete y ejecútelo.

 git clone https://github.com/JoyChou93/java-sec-code
cd java-sec-code
mvn clean package -DskipTests 
java -jar target/java-sec-code-1.0.0.jar

http://localhost:8080/iniciar sesión

Si no ha iniciado sesión, acceder a cualquier página lo redireccionará a la página de inicio de sesión. El nombre de usuario y la contraseña son los siguientes.

 admin/admin123
joychou/joychou123

http://localhost:8080/cerrar sesión

La sesión JSESSION predeterminada de Tomcat es válida durante 30 minutos, por lo que una sesión no operativa de 30 minutos caducará. Para resolver este problema, se introduce la función recordarme y el tiempo de vencimiento predeterminado es de 2 semanas.

Desarrolladores principales: JoyChou, liergou9981 Otros desarrolladores: lightless, Anemone95, waderwu.

Si te gusta el proyecto, puedes destacar el proyecto java-sec-code para apoyarme. Con su apoyo, ¿podré mejorar Java sec code ?