Página Inicial>Relacionado com a programação>Código fonte JAVA
Baixar

Código Java Sec

O código Java sec é um projeto muito poderoso e amigável para aprender código de vulnerabilidade Java.

中文文档 ?

Recrutamento

Alibaba-Ataque e defesa/pesquisa de segurança (P5-P7)

Introduzir

Este projeto também pode ser chamado de código de vulnerabilidade Java.

Cada código de tipo de vulnerabilidade possui uma vulnerabilidade de segurança por padrão, a menos que não haja vulnerabilidade. O código de correção relevante está nos comentários ou no código. Especificamente, você pode visualizar cada código de vulnerabilidade e comentários.

Devido à expiração do servidor, o site de demonstração online teve que ficar offline.

Nome de usuário e senha de login: 

 admin/admin123
joychou/joychou123

Código de vulnerabilidade

Classifique por letra.

  • Atuadores para RCE
  • ComandoInjetar
  • CORS
  • Injeção CRLF
  • CSRF
  • CVE-2022-22978
  • Desserializar
  • Fastjson
  • Upload de arquivo
  • ObterRequestURI
  • Forja IP
  • RMI Java
  • JSONP
  • Log4j
  • ooxmlXXE
  • CaminhoTraversal
  • QLExpress
  • RCE
    • Tempo de execução
    • Construtor de Processos
    • Script Engine
    • Desserializar Yaml
    • Legal
  • Shiro
  • Arrogância
  • SpEL
  • Injeção SQL
  • SSRF
  • SSTI
  • Redirecionamento de URL
  • Ignorar lista de permissões de URL
  • xlsxStreamerXXE
  • XSS
  • XStream
  • XXE
  • JWT

Descrição da vulnerabilidade

  • Atuadores para RCE
  • CORS
  • CSRF
  • Desserializar
  • Fastjson
  • RMI Java
  • JSONP
  • POI-OOXML XXE
  • SQLI
  • SSRF
  • SSTI
  • Ignorar lista de permissões de URL
  • XXE
  • JWT
  • Outros

Como correr

O aplicativo usará a injeção automática mybatis. Execute o servidor mysql com antecedência e configure o nome e nome de usuário/senha do banco de dados do servidor mysql, exceto o ambiente docker. 

 spring.datasource.url=jdbc:mysql://127.0.0.1:3306/java_sec_code
spring.datasource.username=root
spring.datasource.password=woshishujukumima
  • Docker
  • IDEIA
  • gato
  • JAR

Docker

Inicie a janela de encaixe: 

 docker-compose pull
docker-compose up

Pare a janela de encaixe: 

 docker-compose down

Ambiente do Docker:

  • Java 1.8.0_102
  • MySQL 8.0.17
  • Tomcat 8.5.11

IDEIA

  • git clone https://github.com/JoyChou93/java-sec-code
  • Abra no IDEA e clique no botão run .

Exemplo: 

 http://localhost:8080/rce/exec?cmd=whoami

retornar: 

 Viarus

gato

  • git clone https://github.com/JoyChou93/java-sec-code & cd java-sec-code
  • Construa o pacote de guerra por mvn clean package .
  • Copie o pacote war para o diretório webapps do Tomcat.
  • Inicie o aplicativo Tomcat.

Exemplo: 

 http://localhost:8080/java-sec-code-1.0.0/rce/runtime/exec?cmd=whoami

retornar: 

 Viarus

JAR

Mude war para jar em pom.xml . 

< groupId >sec</ groupId >
< artifactId >java-sec-code</ artifactId >
< version >1.0.0</ version >
< packaging >war</ packaging >

Construa o pacote e execute. 

 git clone https://github.com/JoyChou93/java-sec-code
cd java-sec-code
mvn clean package -DskipTests 
java -jar target/java-sec-code-1.0.0.jar

Autenticar

Conecte-se

http://localhost:8080/login

Se você não estiver logado, acessar qualquer página o redirecionará para a página de login. O nome de usuário e a senha são os seguintes. 

 admin/admin123
joychou/joychou123

Sair

http://localhost:8080/logout

Lembre de mim

A sessão JSESSION padrão do Tomcat é válida por 30 minutos, portanto, uma sessão não operacional de 30 minutos expirará. Para resolver este problema, a função RememberMe é introduzida e o prazo de validade padrão é de 2 semanas.

Colaboradores

Desenvolvedores principais: JoyChou, liergou9981 Outros desenvolvedores: lightless, Anemone95, waderwu.

Apoiar

Se você gosta do projeto, pode estrelar o projeto java-sec-code para me apoiar. Com o seu apoio, poderei melhorar Java sec code .

Expandir
Informações adicionais
Aplicativos Relacionados
Recomendado para você
Informações Relacionadas Todos