如何攻击Java Web应用【转载】
越来越多的企业采用Java语言构建企业Web应用程序,基于Java主流的框架和技术及可能存在的风险,成为被关注的重点。
本文从黑盒渗透的角度,总结下Java Web应用所知道的一些可能被利用的入侵点。
文章目录
- 一、中间件漏洞
- 1.1 Web中间件
- Weblogic系列漏洞
- Jboss系列漏洞
- Tomcat系列漏洞
- Websphere系列漏洞
- Coldfusion系列漏洞
- GlassFish系列漏洞
- Resin系列漏洞
- 1.2 缓存/消息/搜索/分布式中间件
- Redis系列漏洞
- ActiveMQ系列漏洞
- Kafka系列漏洞
- Elasticsearch系列漏洞
- ZooKeeper系列漏洞
- 二、框架及组件漏洞
- 2.1 开发框架
- Struts2 系列漏洞
- Spring 系列漏洞
- SpringCloud 系列漏洞
- Dubbo 系列漏洞
- 2.2、第三方组件
- Shiro 系列漏洞
- Fastjson 系列漏洞
- Jackson系列漏洞
- Solr系列漏洞
- JWT漏洞
- 三、API 接口漏洞
- 3.1 API Security
- 3.2 常见API相关漏洞
一、中间件漏洞
基于Java的Web项目部署会涉及一些中间件,一旦中间件配置不当或存在高危漏洞,就会严重影响到整个系统的安全。
1.1 Web中间件
Weblogic系列漏洞
弱口令 && 后台getshell
SSRF漏洞
反序列化RCE漏洞
Jboss系列漏洞
未授权访问Getshell
反序列化RCE漏洞
Tomcat系列漏洞
弱口令&&后台getshell
Tomcat PUT方法任意写文件漏洞
Websphere系列漏洞
弱口令&&后台getshell
XXE漏洞
远程代码执行漏洞
Coldfusion系列漏洞
文件读取漏洞
反序列化RCE漏洞
GlassFish系列漏洞
弱口令&&后台getshell
任意文件读取漏洞
Resin系列漏洞
弱口令&&后台getshell
任意文件读取漏洞
1.2 缓存/消息/搜索/分布式中间件
Redis系列漏洞
未授权访问getshell
主从复制RCE
ActiveMQ系列漏洞
ActiveMQ任意文件写入漏洞
ActiveMQ反序列化漏洞
Kafka系列漏洞
未授权访问漏洞
反序列化漏洞
Elasticsearch系列漏洞
命令执行漏洞
写入webshell漏洞
ZooKeeper系列漏洞
未授权访问漏洞
框架及组件漏洞
二、框架及组件漏洞
基于Java开发的Web应用,会使用到各种开发框架和第三方组件,而随着时间推移,这些框架和组件可能早已不再安全了。
2.1 开发框架
Struts2 系列漏洞
S2-001 到 S2-061漏洞
安全公告:https://cwiki.apache.org/confluence/display/WW/Security+Bulletins
Spring 系列漏洞
Spring Security OAuth2远程命令执行漏洞
Spring WebFlow远程代码执行漏洞
Spring Data Rest远程命令执行漏洞
Spring Messaging远程命令执行漏洞
Spring Data Commons远程命令执行漏洞
SpringCloud 系列漏洞
Spring Boot Actuator 未授权访问
Springt Boot 相关漏洞:https://github.com/LandGrey/SpringBootVulExploit
Dubbo 系列漏洞
Dubbo 反序列化漏洞
Dubbo 远程代码执行漏洞
2.2、第三方组件
Shiro 系列漏洞
Shiro 默认密钥致命令执行漏洞
Shiro rememberMe 反序列化漏洞(Shiro-550)
Shiro Padding Oracle Attack(Shiro-721)
Fastjson 系列漏洞
Fastjson反序列化RCE
Fastjson远程命令执行
Jackson系列漏洞
反序列化RCE漏洞
Solr系列漏洞
XML实体注入漏洞
文件读取与SSRF漏洞
远程命令执行漏洞
JWT漏洞
敏感信息泄露
伪造token
暴力破解密钥
三、API 接口漏洞
基于前后端分离的开发模式,都需要通过调用后端提供的接口来进行业务交互,api接口安全测试是一项非常重要的任务。
3.1 API Security
OWASP API Security-Top 10:https://owasp.org/www-project-api-security/
API-Security-Checklist:https://github.com/shieldfy/API-Security-Checklist/
3.2 常见API相关漏洞
逻辑越权
信息泄露
接口滥用
输入输出控制
安全错误配置
本文转载自微信公众号 Bypass,作者:Bypass。如有侵权,请联系本人删除。
如何攻击Java Web应用【转载】相关推荐
- 一张图告诉你,如何攻击Java Web应用
越来越多的企业采用Java语言构建企业Web应用程序,基于Java主流的框架和技术及可能存在的风险,成为被关注的重点. 本文从黑盒渗透的角度,总结下Java Web应用所知道的一些可能被利用的入侵点. ...
- java web环境_java web
HTTP Status 500 - Request processing failed; nested exception is java.lang.NullPointerException HTTP ...
- java web开发中Filter使用Annotation配置 (转载)
为什么80%的码农都做不了架构师?>>> 为了在java中得到request和response对象,搜索到了 <如何在Java的普通类中获取Session以及reques ...
- 用 Java 技术创建 RESTful Web 服务--转载
简介 JAX-RS (JSR-311) 是为 Java EE 环境下的 RESTful 服务能力提供的一种规范.它能提供对传统的基于 SOAP 的 Web 服务的一种可行替代. 在本文中,了解 JAX ...
- [转载]Java web应用中的常见字符编码问题的解决方法
以下是 Java web应用的常见编码问题 1. html页面的编码 在web应用中,通常浏览器会根据http header: Content-type的值来决定用什么encoding, 比如遇到Co ...
- [转载]Java Web 服务,第 1 部分: Java Web 服务在未来一年内的发展
Java Web 服务,第 1 部分: Java Web 服务在未来一年内的发展 2006 年中,Web 服务领域将发生翻天覆地的变化.对于 Java™ 开发人员而言,这些变化将包括新 Web 服务框 ...
- java web服务器tomcat介绍【转载】
机器矩阵2016-08-10 22:14 java程序员亲切地称他为tom猫,看到这只猫可以说明1 服务器部署成功了 ,2 网络是联通的. 到底这只猫是什么来头呢? tomcat是Apache基金会下 ...
- Java web 初入
Java Web应用的核心技术包括以下几个方面: ● JSP:进行输入和输出的基本手段. ● JavaBean:完成功能的处理. ● Servlet:对应用的流程进行控制. ● JDBC:是与数据库进 ...
- java web项目请求控制及简单漏洞防范
背景:当时项目没用什么框架,过滤器,请求限制等都需要自己手写. 1.请求加时间戳 在后台过滤器中可以加判断,如果请求时间戳与服务器时间相差太大,可以返回异常,具体情况可以具体使用. 请求中加时间戳的示 ...
最新文章
- 聊聊Synchronized
- oracle文件IO错误,ORA-01114: 将块写入文件 16 时出现 IO 错误 (块 # 1734107)
- node.js 获取异步方法里面数据 的方式
- 【公众号系列】SAP S/4 HANA的移动平均价
- ASP.NET MVC 入门9、Action Filter 与 内置的Filter实现(介绍)
- 解决Linux操作系统下AES解密失败的问题
- python selenium 环境_配置Python Selenium环境
- 创建标签等操作DOM的原生js API
- 生成树切分matlab_机器学习——手把手教你用Python实现回归树模型
- LeetCode之快乐数
- visio2013专业版激活密匙
- SpringBoot+Vue 实现扫描二维码跳转H5页面
- Spatial Transformer Networks(STN)-代码实现
- 2022年,全网最真实的软件测试面试题
- 以后再有人问你selenium是什么,你就把这篇文章给他
- 聊聊NIPT基因检测技术
- 苹果备份删除有影响吗_苹果官网崩了,对手机的销售有什么影响吗?
- 初识p-code (pcode)
- Oracle PL/SQL 编程手册(SQL大全)
- java ibatis mybatis_Mybatis与Ibatis的区别
热门文章
- addeventlistener不支持ajax_十万个Web前端面试题之AJAX、axios、fetch的区别
- 闪退没由报错_秉承工匠精神,3步定位飞桨报错原因,你也来试试?
- JS判断是否选中的是表格内当前选中的那一行
- Mysql数据库有两种安装方法
- 慕尼黑工业大学最新综述:深度神经网络中的不确定性
- 加拿大皇后大学朱晓丹教授课题组招收NLP方向博士和硕士研究生
- 2017年度最值得读的AI论文评选 | 大张旗鼓送福利
- 腾讯AI Lab涂兆鹏:如何提升神经网络翻译的忠实度 | PhD Talk #22
- Wannafly summer camp
- 二分图的最大匹配 匈牙利算法