java sec code

Java sec code — очень мощный и удобный проект для изучения кода уязвимостей Java.

中文文档 ?

Alibaba-Атака и защита/исследования безопасности (P5-P7)

Этот проект также можно назвать кодом уязвимости Java.

Каждый код типа уязвимости по умолчанию имеет уязвимость безопасности, если только уязвимости нет. Соответствующий код исправления находится в комментариях или коде. В частности, вы можете просмотреть каждый код уязвимости и комментарии.

Из-за истечения срока действия сервера онлайн-демонстрационный сайт пришлось отключить.

Имя пользователя и пароль для входа:

 admin/admin123
joychou/joychou123

Сортировать по буквам.

• Приводы для RCE
• КоммандИнжект
• КОРС
• CRLF-инъекция
• CSRF
• CVE-2022-22978
• Десериализовать
• Фастджсон
• Загрузка файла
• GetRequestURI
• ИП Фордж
• Ява РМИ
• JSONP
• Лог4j
• ооксмлXXE
• Обход пути
• QLExpress
• РЦЭ
  • Время выполнения
  • ProcessBuilder
  • ScriptEngine
  • Десериализация Yaml
  • классный
• Широ
• Суэггер
• СПЭЛ
• SQL-инъекция
• СССРФ
• СНТИ
• URL-перенаправление
• Обход белого списка URL-адресов
• кслсстримерXXE
• XSS
• XStream
• XXE
• JWT

• Приводы для RCE
• КОРС
• CSRF
• Десериализовать
• Фастджсон
• Ява РМИ
• JSONP
• POI-OOXML XXE
• SQLI
• СССРФ
• СНТИ
• Обход белого списка URL-адресов
• XXE
• JWT
• Другие

Приложение будет использовать автоинъекцию mybatis. Пожалуйста, запустите сервер MySQL заранее и настройте имя базы данных сервера MySQL, имя пользователя и пароль, за исключением среды Docker.

 spring.datasource.url=jdbc:mysql://127.0.0.1:3306/java_sec_code
spring.datasource.username=root
spring.datasource.password=woshishujukumima

• Докер
• ИДЕЯ
• кот
• БАНКА

Запустить докер:

 docker-compose pull
docker-compose up

Остановить докер:

 docker-compose down

Окружение Докера:

• Ява 1.8.0_102
• MySQL 8.0.17
• Томкэт 8.5.11

• git clone https://github.com/JoyChou93/java-sec-code
• Откройте в IDEA и нажмите кнопку run .

Пример:

 http://localhost:8080/rce/exec?cmd=whoami

возвращаться:

 Viarus

• git clone https://github.com/JoyChou93/java-sec-code и cd java-sec-code
• Соберите военный пакет с помощью mvn clean package .
• Скопируйте военный пакет в каталог веб-приложений Tomcat.
• Запустите приложение Tomcat.

Пример:

 http://localhost:8080/java-sec-code-1.0.0/rce/runtime/exec?cmd=whoami

возвращаться:

 Viarus

Измените war на jar в pom.xml .

< groupId >sec</ groupId >
< artifactId >java-sec-code</ artifactId >
< version >1.0.0</ version >
< packaging >war</ packaging >

Соберите пакет и запустите.

 git clone https://github.com/JoyChou93/java-sec-code
cd java-sec-code
mvn clean package -DskipTests 
java -jar target/java-sec-code-1.0.0.jar

http://localhost:8080/логин

Если вы не вошли в систему, доступ к любой странице перенаправит вас на страницу входа. Имя пользователя и пароль следующие.

 admin/admin123
joychou/joychou123

http://localhost:8080/выход

Сеанс JSESSION Tomcat по умолчанию действителен в течение 30 минут, поэтому срок действия 30-минутного нерабочего сеанса истечет. Для решения этой проблемы введена функция RememberMe, срок действия которой по умолчанию составляет 2 недели.

Основные разработчики: JoyChou, liergou9981 Другие разработчики: Lightless, Anemone95, waderwu.

Если вам нравится проект, вы можете отметить проект java-sec-code, чтобы поддержать меня. С вашей поддержкой я смогу улучшить Java sec code ?.