修复WebSocket认证泄漏用户信息漏洞

背景 在对子公司送检的APP渗透测试中,经过反编译后,发现APP在连接websocket服务器接收消息时使用用户名,密码的形式进行认证。并且将明文的用户名,密码信息写在APP代码中。如下图所示 修复建议 ws协议认证建议通过生成token的机制验证,如: @EnableWeb »

修复J2EE漏洞:5. 文件上传漏洞

ESAPI 使用ESAPI验证上传文件名 boolean validFileName = ESAPI.validator().isValidFileName("文件名", fileName, false); 源码解析: isValidFileName()同名方法共有三个 »

修复J2EE漏洞:4. CSRF漏洞

Struts框架 JSP使用<s:token/>标签,在struts配置文件中增加token拦截器 页面代码: <s:form action="reg" theme="simple"> username:<s:textfield nam »

JAVA中常见数据库操作API

JDBC常用API DriverManager:用于管理JDBC驱动的服务类。主要功能是获取Connection对象 public static Connection getConnection(String url, String user, String pass »

修复J2EE漏洞:3. XSS漏洞

Struts框架 struts1中的<bean:write>标签:该标签中有个属性filter默认值为true,会将输出内容中的特殊HTML符号作为普通字符串来显示 <% String test="<script>alert(1)&l »

修复J2EE漏洞:2. SQL注入

Heibernate框架 HQL查询 Query query = session.createQuery("from Secret where username=?"); query.setParameter(0, username); //Query query = s »

修复J2EE漏洞:1. ESAPI_WAF

ESAPI WAF配置文件 ESAPI WAF由XML策略文件驱动,该文件告诉应用程序在应用程序中执行哪些规则,这些规则可以做很多事情,从简单的虚拟补丁到使用BeanShell脚本复杂授权 该文档描述了策略文件的结构,每一个规则及其工作原理。这里也会提供一些示例去引导整个实验过程 »

基于JAVA的DES加解密

1.获取密钥生成器 KeyGenerator kg=KeyGenerator.getInstance("DESede");//“Blowfish”、“DES”、“DESede”、“HmacMD5”或“HmacSHA1”等 2.初始化密钥生成器 kg.ini »

HttpClient实现白名单全局代理

试用于httpClient 4.*,自定义一个routePlanner,判断请求的目标地址就可以了 package com.zhutougg.demo; import java.util.regex.Matcher; import java.util.regex.Patter »