05 2022 档案
摘要:数组 数组也是数据类型,是引用类型。数组就是一组数据,存储一组类型相同的变量。 数组定义 数据类型[] 数组名 ={数据1,数据2,...}; 静态初始化 数据类型[] 数组名 = new 数据类型[大小]; 动态初始化 可以先定义名称,在new内存空间。 数据类型[] 数组名; 数组名 = new
阅读全文
摘要:顺序控制 程序从上到下逐行执行,中间没有判断和跳转。 public class Hello{ //main方法 public static void main(String[] args){ int n1 = 10; int n2 = n1+1; } } //错误的顺序 public class H
阅读全文
摘要:键盘输入 使用步骤 //1.导入该类的所在包,java.util.* //2.创建该类对象 //3.调用该类的方法 //导入Scanner类所在的包 import java.util.Scanner; public class input{ public static void main(Strin
阅读全文
摘要:算术运算符 + - * / % ++ -- //加减乘除 取余 自增 自减 运算遵循四则运算规则,可以使用任意嵌套的小括号。四则运算规则和初等数学一致。 //运算细节 public class ArithmeticOperator{ public static void main(String[]
阅读全文
摘要:变量 变量是可变的,如x,y。分为两种,基本类型的变量和引用类型的变量。 基本数据类型 基本数据类型是CPU可以直接进行运算的类型。Java定义了以下几种基本数据类型: 整数类型:byte,short,int,long 浮点数类型:float,double 字符类型:char 布尔类型:boolea
阅读全文
摘要:安装Java 项目地址:https://www.oracle.com/java/technologies/downloads/#java8 选择自己的操作系统下载对应的版本。Windows可以选择安装路径。 本人是mac环境,使用mac环境安装配置,下载.dmg文件后,无脑安装即可。 环境配置 Wi
阅读全文
摘要:JAVA安全-06反序列化篇(2)-URLDNS URLDNS 就是ysoserial中⼀个利⽤链的名字,但准确来说,这个其实不能称作“利⽤链”。因为其参数不是⼀个可以“利⽤”的命令,⽽仅为⼀个URL,其能触发的结果也不是命令执⾏,⽽是⼀次DNS请求。ysoserial 打包成jar命令 mvn c
阅读全文
摘要:JAVA安全-05反序列化篇(1) 序列化与反序列化 Java序列化是指把Java对象转换为字节序列的过程;而Java反序列化是指把字节序列恢复为Java对象的过程。 序列化是这个过程的第一部分,将数据分解成字节流,以便存储在文件中或在网络上传输。反序列化就是打开字节流并重构对象。对象序列化不仅要将
阅读全文
摘要:JAVA安全-04RMI篇 前篇写了JNDI的内容,本篇详细写RMI的具体细节。 RMI全称是Remote Method Invocation,远程⽅法调⽤。是让某个Java虚拟机上的对象调⽤另⼀个Java虚拟机中对象上的⽅法,只不过RMI是Java独有的⼀种RPC方法。看这篇之前可以先去看看RPC
阅读全文
摘要:JAVA安全-03JNDI JNDI是什么 JNDI(Java Naming and Directory Interface)是Java提供的Java 命名和目录接口。通过调用JNDI的API应用程序可以定位资源和其他程序对象。JNDI并不只是包含了DataSource(JDBC 数据源),JNDI
阅读全文
摘要:JAVA安全-02反射机制 什么是反射 Java反射(Reflection)是Java非常重要的动态特性,通过使用反射可以获取到任何类的成员方法(Methods)、成员变量(Fields)、构造方法(Constructors)等信息,还可以动态创建Java类实例、调用任意的类方法、修改任意的类成员变
阅读全文
摘要:JAVA安全-01类加载机制 Java是一个依赖于JVM(Java虚拟机)实现的跨平台的开发语言。Java程序在运行前需要先编译成class文件,Java类初始化的时候会调用java.lang.ClassLoader加载类字节码,ClassLoader会调用JVM的native方法(defineCl
阅读全文
摘要:Java代码审计漏洞-URL跳转 基础知识:https://www.cnblogs.com/-meditation-/p/16243218.html 漏洞代码 redirect、response.setHeader("Location", url)、sendRedirect 都可能存在漏洞 //re
阅读全文
摘要:URL跳转漏洞 简介 URL 跳转漏洞也叫作 URL 重定向漏洞,由于服务端未对传入的跳转地址进行检查和控制,从而导致攻击者可以构造任意一个恶意地址,诱导用户跳转至恶意站点。因为是从用户可信站点跳转出去的,用户会比较信任该站点,所以URL跳转漏洞常用于钓鱼攻击,通过转到攻击者精心构造的恶意网站来欺骗
阅读全文
摘要:Java代码审计漏洞-SSRF服务器请求伪造 ssrf基础:https://www.cnblogs.com/-meditation-/p/16227632.html 补充一点:SSRF利用的协议PHP和JAVA的有区别,高版本的JAVA可以用file ftp mailto http https ja
阅读全文
摘要:#SSRF服务器请求伪造 概念 SSRF(服务端请求伪造):是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 SSRF形成的原因:服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。 攻击方式 1.访问服务器所在内网
阅读全文
摘要:#Java代码审计漏洞-CSRF跨站请求伪造 若要通过代码审计去挖掘 CSRF 漏洞,一般需要首先了解该开源程序的框架。CSRF 漏洞一般会在框架中存在防护方案,所以在审计CSRF漏洞时,首先要熟悉框架对CSRF的防护方案,若没有防护方案,则以该框架编写的所有Web程序都可能存在CSRF漏洞。若有防
阅读全文
浙公网安备 33010602011771号