图片 本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请点击举报。 ...
一、前置知识 本文主要讲解基础的代码审计思路与方法技巧,适合有一定java基础,无审计经验的同学学习。 二、漏洞挖掘 1、配置信息 先看pom.xml,了解到使用了哪个依赖库以及版本,从而可以确定是否存在漏洞。 图中Shiro=1.2.4版本,存在shiro550反序列化漏洞, 图片 图片 application.yml 该配置文件可能存在数据库或其他组件的连接信息,如数据库连接信息。 图片 漏洞关键字:Fastjson =1.2.83 Jackson =2.9.2 POI 3.11 DOS ...