13518219792
根据您的个性需求进行定制 先人一步 抢占小程序红利时代
本文转载自微信公众号「Bypass」,作者Bypass。转载本文请联系Bypass公众号。
创新互联专注于企业成都全网营销、网站重做改版、来宾网站定制设计、自适应品牌网站建设、HTML5、商城建设、集团公司官网建设、成都外贸网站建设、高端网站制作、响应式网页设计等建站业务,价格优惠性价比高,为来宾等各大城市提供网站开发制作服务。
越来越多的企业采用Java语言构建企业Web应用程序,基于Java主流的框架和技术及可能存在的风险,成为被关注的重点。
本文从黑盒渗透的角度,总结下Java Web应用所知道的一些可能被利用的入侵点。
基于Java的Web项目部署会涉及一些中间件,一旦中间件配置不当或存在高危漏洞,就会严重影响到整个系统的安全。
Weblogic系列漏洞:
Jboss系列漏洞:
Tomcat系列漏洞:
Websphere系列漏洞:
Coldfusion系列漏洞:
GlassFish系列漏洞:
Resin系列漏洞:
Redis系列漏洞:
ActiveMQ系列漏洞:
Kafka系列漏洞:
Elasticsearch系列漏洞:
ZooKeeper系列漏洞:
基于Java开发的Web应用,会使用到各种开发框架和第三方组件,而随着时间推移,这些框架和组件可能早已不再安全了。
Struts2 系列漏洞:
Spring 系列漏洞:
SpringCloud 系列漏洞:
Dubbo 系列漏洞:
Shiro 系列漏洞:
Fastjson 系列漏洞:
Jackson系列漏洞:
Solr系列漏洞:
JWT漏洞:
3. API 接口漏洞
基于前后端分离的开发模式,都需要通过调用后端提供的接口来进行业务交互,api接口安全测试是一项非常重要的任务。
API Security:
- OWASP API Security-Top 10:https://owasp.org/www-project-api-security/
- API-Security-Checklist:https://github.com/shieldfy/API-Security-Checklist/
常见API相关漏洞:
