转:http://static.hx99.net/static/drops/tips-662.html 攻击JavaWeb应用[8]-后门篇 园长 · 2013/10/11 19:19 0x00 背景 关于JavaWeb后门问题一直以来都比较少,而比较新奇的后门更少.在这里我分享几种比较有意思的JavaWeb后门给大家玩. 0x01 jspx后门 在如今的web应用当中如果想直接传个jsp已经变得比较难了,但是如果只限制了asp.php.jsp.aspx等这些常见的后缀应该怎样去突破呢?我在读t…

转:http://static.hx99.net/static/drops/papers-869.html 攻击JavaWeb应用[9]-Server篇[2] 园长 · 2014/01/22 12:58 注:在继后门篇后已经有很长时间没更新了,这次一打算写写Server[1]的续集.喜欢B/S吗?那我们今天干脆就来写一个简单的“Web服务器”吧. 0x01 WebServer Web服务器可以解析(handles)HTTP协议.当Web服务器接收到一个HTTP请求(request),会返回一个H…

转:http://static.hx99.net/static/drops/tips-604.html 攻击JavaWeb应用[7]-Server篇[1] 园长 · 2013/09/22 15:39 java应用服务器 Java应用服务器主要为应用程序提供运行环境,为组件提供服务.Java 的应用服务器很多,从功能上分为两类:JSP 服务器和 Java EE 服务器. 常见的Server概述 常见的Java服务器:Tomcat.Weblogic.JBoss.GlassFish.Jetty.Res…

转:http://static.hx99.net/static/drops/tips-236.html 攻击JavaWeb应用[3]-SQL注入 园长 · 2013/07/16 18:28 注:本节重点在于让大家熟悉各种SQL注入在JAVA当中的表现,本想带点ORM框架实例,但是与其几乎无意,最近在学习MongoDb,挺有意思的,后面有机会给大家补充相关. 0x00 JDBC和ORM JDBC: JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行…

.DNS域欺骗攻击原理 DNS欺骗即域名信息欺骗是最常见的DNS安全问题.当一 个DNS服务器掉入陷阱,使用了来自一个恶意DNS服务器的错误信息,那么该DNS服务器就被欺骗了.DNS欺骗会使那些易受攻击的DNS服务器产生许多 安全问题,例如:将用户引导到错误的互联网站点,或者发送一个电子邮件到一个未经授权的邮件服务器. 二.DNS域欺骗攻击实现步骤 1．配置实验环境: 2．假设攻击者已经侵入受害者机器实施攻击: 3．使用嗅探进行DNS ID欺骗: 4．DNS通配符攻击. 我们需要像图1那样设置实…

转:http://static.hx99.net/static/drops/tips-429.html 攻击JavaWeb应用[6]-程序架构与代码审计 园长 · 2013/08/12 16:53 注: 不管多么强大的系统总会有那么些安全问题,影响小的可能仅仅只会影响用户体验,危害性大点的可能会让攻击者获取到服务器权限.这一节重点是怎样去找到并利用问题去获取一些有意思的东西. Before: 有MM的地方就有江湖,有程序的地方就有漏洞.现在已经不是SQL注入漫天的年代了,Java的一些优秀的开源…

转:http://static.hx99.net/static/drops/tips-347.html 攻击JavaWeb应用[5]-MVC安全 园长 · 2013/07/25 13:31 注:这一节主要是消除很多人把JSP当作了JavaWeb的全部的误解,了解MVC及其框架思想.MVC是用于组织代码用一种业务逻辑和数据显示分离的方法,不管是Java的Struts2.SpringMVC还是PHP的ThinkPHP都爆出过高危的任意代码执行,本节重在让更多的人了解MVC和MVC框架安全,由浅到深尽…

转:http://static.hx99.net/static/drops/tips-288.html 攻击JavaWeb应用[4]-SQL注入[2] 园长 · 2013/07/18 17:23 注:这一节主要是介绍Oracle和SQL注入工具相关,本应该是和前面的Mysql一起但是由于章节过长了没法看,所以就分开了. 0x00 Oracle Oracle Database,又名Oracle RDBMS,或简称Oracle.是甲骨文公司的一款关系数据库管理系统. Oracle对于MYSQL.MS…

转:http://static.hx99.net/static/drops/tips-164.html 攻击JavaWeb应用[2]-CS交互安全 园长 · 2013/07/08 14:54 注:本节意在让大家了解客户端和服务器端的一个交互的过程,我个人不喜欢xss,对xss知之甚少所以只能简要的讲解下.这一节主要包含HttpServletRequest.HttpServletResponse.session.cookie.HttpOnly和xss,文章是年前几天写的本应该是有续集的但年后就没什…

JavaWeb学习总结第二篇—第一个JavaWeb程序 最近我在学院工作室学习并加入到研究生的项目中,在学长学姐的带领下,进入项目实践中,为该项目实现一个框架(用已有框架进行改写).于是我在这里记录下我JavaWeb学习的过程,加油! 我们在第一篇中提到了开发JavaWeb程序需要的一些工具,在安装完成后(请朋友们自行网上查找安装步骤和配置),接下来我以图片形式介绍编写JavaWeb程序. 一:创建Web项目 1.打开IntelliJ IDEA->File->New Project 项目创建完…