经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。
本篇介绍了以下代码安全问题:
编号 | 漏洞 |
---|---|
1 | XMLDecoder注入 |
2 | 动态解析代码 |
3 | LDAP危险条目 |
4 | 同源方法执行 |
5 | JNDI查找地址注入 |
6 | 服务器端模板注入 |
7 | 重定向 |
1、XMLDecoder注入
详细信息
反序列化用户控制的XML,程序如果没有进行验证,会让攻击者有机会在服务器上执行恶意代码。
例如:XMLDecoder处理不可信的输入
.