SpringSecurity(Spring-WebFlux)动态配置资源权限绕过风险浅析
在SpringMVC中,使用SpringSecurity时可以通过实现FilterInvocationSecurityMetadataSource接口,在其中加载资源权限。实现动态配置资源权限。Spring MVC基于 Servlet 规范进行处理,而Spring WebFlux依赖于 Reactor 模块。两者在SpringSecurity的使用上还是有区别的。浅谈Spring-WebFlux动态配置资源权限场景在代码审计时需要关注的风险。
- 0
- 0
- tkswifty
- 发布于 2024-01-22 09:40:50
- 阅读 ( 7298 )
tkswifty
【Web实战】浅谈reactor netty httpclient请求解析过程
Reactor Netty HttpClient 是 Reactor Netty 框架提供的一个用于进行异步 HTTP 请求的客户端库。它基于 Reactor 框架,采用响应式编程模型,允许以非阻塞的方式执行 HTTP 请求和处理响应。浅谈其HTTP请求解析过程。
- 0
- 0
- tkswifty
- 发布于 2023-11-21 10:00:01
- 阅读 ( 7080 )
【Web实战】新手入门java审计
jsherpcms审计 环境搭建 源码:https://github.com/jishenghua/jshERP/releases/tag/2.3 下载之后用idea导入 导入数据库文件 然后修改配置文件 然后启动 测试用户:jsh,密码:123456 sql注...
- 4
- 0
- 永安寺
- 发布于 2023-12-04 09:00:00
- 阅读 ( 7268 )
永安寺
【Web实战】对通达OA11前台RCE的两个漏洞的分析与调优
对通达OA11前台RCE的两个漏洞的分析与调优,本文所涉及漏洞均为互联网上已公开漏洞,仅用于合法合规用途,严禁用于违法违规用途。
- 0
- 0
- zcy2018
- 发布于 2023-11-16 10:00:00
- 阅读 ( 6792 )
【Web实战】浅谈Spring中的Controller参数的验证机制
在应用程序的业务逻辑中,数据校验是必须要考虑和面对的事情。应用程序必须通过某种手段保证输入进来的数据是安全可靠的。浅谈Spring中的Controller参数的验证机制。
- 0
- 0
- tkswifty
- 发布于 2023-11-16 09:00:02
- 阅读 ( 6290 )
浅谈okhttp3 HTTP请求解析过程
OKHttp是一个处理网络请求的开源项目,由Square公司开发,可以用于在 Android 和 Java 应用程序中进行网络通信。它提供了简洁的 API 和高效的性能,支持同步和异步请求、连接池、拦截器、缓存等功能,使网络通信更加便捷和灵活。浅谈其HTTP请求解析过程。
- 1
- 0
- tkswifty
- 发布于 2023-09-11 09:00:00
- 阅读 ( 7757 )
Mybatis-Flex浅析
MyBatis-Flex是一个MyBatis增强框架,它非常轻量、同时拥有极高的性能与灵活性。可以轻松的使用Mybaits-Flex连接任何数据库。浅析其中安全相关的问题。
- 0
- 0
- tkswifty
- 发布于 2023-09-04 09:00:02
- 阅读 ( 8761 )
浅谈Jersey文件上传解析
在Jersey中,可以通过jersey-media-multipart模块实现文件上传功能,浅谈其具体实现。
- 0
- 0
- tkswifty
- 发布于 2023-07-06 09:00:01
- 阅读 ( 7348 )
【PHP代码审计】Atutor2.2.4 CVE全复现
ATutor是一个开源基于Web的学习管理系统,2.2.4是目前的最新版本,我汇总了所有CVE进行复现,对国外站点PHP代码审计的学习有所帮助。
- 0
- 0
- pokeroot
- 发布于 2024-03-04 09:00:01
- 阅读 ( 6430 )
pokeroot
浅谈Spring WebFlux文件上传解析
在 Spring WebFlux 中,可以使用 org.springframework.http.codec.multipart.FilePart 来处理文件上传。浅谈其具体实现。
- 0
- 0
- tkswifty
- 发布于 2023-06-26 09:00:02
- 阅读 ( 9792 )
浅谈Apache Shiro请求解析过程
Apache Shiro内部其实是通过一个过滤器链来实现认证/鉴权等流程的。浅谈其中的请求解析过程。
- 0
- 0
- tkswifty
- 发布于 2023-04-24 09:00:00
- 阅读 ( 8716 )
浅谈SpringSecurity请求解析过程
Spring Security内部其实是通过一个过滤器链来实现认证/鉴权等流程的。浅谈其中的请求解析过程。
- 0
- 0
- tkswifty
- 发布于 2023-04-07 09:00:00
- 阅读 ( 9953 )
浅谈JFinal的DenyAccessJsp绕过
为了提升应用的安全性,JFinal 较新的版本默认不能对 .jsp 文件直接进行访问,也就是在浏览器地址栏中无法输入 .jsp 文件名去访问 jsp 文件,但是可以通过 renderJsp(xxx.jsp) 来访问 jsp 文件。但是实际上在某些场景下可以进行Bypass。
- 1
- 0
- tkswifty
- 发布于 2022-09-22 09:26:37
- 阅读 ( 10136 )
Ebean框架常见SQL注入场景
Ebean是一个ORM框架,利用其可以快速构建有类型约束的安全的SQL语句。本文主要介绍该框架常见的SQL注入场景。給代码安全审计提供一定的思路。
- 2
- 0
- tkswifty
- 发布于 2022-05-09 09:59:31
- 阅读 ( 8465 )
h0ld1rs
JOHNSON
Wordpress敏感信息泄漏漏洞 CVE-2021-38314 代码审计
WordPress Redux Framework class-redux-helpers.php 敏感信息泄漏漏洞 CVE-2021-38314 | 代码审计复现
- 1
- 0
- PeiQi
- 发布于 2021-12-03 09:51:54
- 阅读 ( 9830 )
PeiQi
记详细的Java代码审计
# 记详细的Java代码审计 ## 过滤器简介 Filter也称之为过滤器,它是Servlet技术中最实用的技术,WEB开发人员通过Filter技术,对web服务器管理的所有web资源:例如Jsp, Servlet, 静态图片文件...
- 2
- 0
- hrk
- 发布于 2021-08-31 18:36:48
- 阅读 ( 9229 )
openemr任意文件读取删除漏洞
OpenEMR 是最受欢迎的开源电子健康记录和医疗实践管理解决方案。 5.0.1版本后台存在任意文件读取和删除漏洞。
- 1
- 0
- langke
- 发布于 2021-08-31 15:04:34
- 阅读 ( 7387 )