Java 安全代码
Java 安全代码是一个非常强大且友好的项目,用于学习 Java 漏洞代码。
中文文档 😋
招聘
介绍
这个项目也可以称为 Java 漏洞代码。
每种漏洞类型的代码默认都存在安全漏洞,除非没有漏洞。相关的修复代码在注释或代码中。具体可以查看每个漏洞代码和注释。
由于服务器过期,在线演示网站不得不下线。
登录用户名和密码:
admin/admin123
joychou/joychou123
漏洞代码
按字母排序。
- Actuators 到 RCE
- 命令注入
- 跨域资源共享
- CRLF 注入
- 跨站请求伪造
- CVE-2022-22978
- 反序列化
- Fastjson
- 文件上传
- GetRequestURI
- IP 伪造
- Java RMI
- JSONP
- Log4j
- ooxmlXXE
- 路径遍历
- QLExpress
- 远程代码执行
- Runtime
- ProcessBuilder
- ScriptEngine
- Yaml 反序列化
- Groovy
- Shiro
- Swagger
- SpEL
- SQL 注入
- 服务器端请求伪造
- 服务器端模板注入
- URL 重定向
- URL 白名单绕过
- xlsxStreamerXXE
- 跨站脚本
- XStream
- XML 外部实体注入
- JWT
漏洞描述
- 执行器到RCE
- 跨域资源共享
- 跨站请求伪造
- 反序列化
- Fastjson
- Java RMI
- JSONP
- POI-OOXML XXE
- SQL注入
- 服务器端请求伪造
- 服务器端模板注入
- URL白名单绕过
- XML外部实体注入
- JWT
- 其他
如何运行
该应用程序将使用mybatis自动注入。请提前运行mysql服务器,并配置mysql服务器数据库的名称和用户名/密码(除Docker环境外)。
spring.datasource.url=jdbc:mysql://127.0.0.1:3306/java_sec_code
spring.datasource.username=root
spring.datasource.password=woshishujukumima
- Docker
- IDEA
- Tomcat
- JAR
Docker
启动Docker:
docker-compose pull
docker-compose up
停止Docker:
docker-compose down
Docker环境:
- Java 1.8.0_102
- MySQL 8.0.17
- Tomcat 8.5.11
IDEA
git clone https://github.com/JoyChou93/java-sec-code- 在IDEA中打开并点击"运行"按钮。
示例:
http://localhost:8080/rce/exec?cmd=whoami
返回:
Viarus
Tomcat
git clone https://github.com/JoyChou93/java-sec-code并cd java-sec-code- 通过
mvn clean package构建war包。 - 将war包复制到tomcat的webapps目录。
- 启动tomcat应用程序。
示例:
http://localhost:8080/java-sec-code-1.0.0/rce/runtime/exec?cmd=whoami
返回:
Viarus
JAR
在 pom.xml 中将 war 改为 jar。
<groupId>sec</groupId> <artifactId>java-sec-code</artifactId> <version>1.0.0</version> <packaging>war</packaging>
构建包并运行。
git clone https://github.com/JoyChou93/java-sec-code
cd java-sec-code
mvn clean package -DskipTests
java -jar target/java-sec-code-1.0.0.jar
认证
登录
如果您未登录,访问任何页面都将重定向到登录页面。用户名和密码如下。
admin/admin123
joychou/joychou123
登出
记住我
Tomcat默认的JSESSION会话有效期为30分钟,因此30分钟不操作会话就会过期。为了解决这个问题,引入了rememberMe功能,默认过期时间为2周。
贡献者
核心开发者:JoyChou, liergou9981 其他开发者:lightless, Anemone95, waderwu。
支持
如果您喜欢这个项目,可以给java-sec-code项目点个星��标来支持我。有了您的支持,我将能够使Java sec code变得更好😎。
编辑推荐精选
Trae
字节跳动发布的AI编程神器IDE
Trae是一种自适应的集成开发环境(IDE),通过自动化和多元协作改变开发流程。利用Trae,团队能够更快速、精确地编写和部署代码,从而提高编程效率和项目交付速度。Trae具备上下文感知和代码自动完成功能,是提升开发效率的理想工具。
OmniParser
帮助AI理解电脑屏幕 纯视觉GUI元素的自动化解析方案
开源工具通过计算机视觉技术实现图形界面元素的智能识别与结构化处理,支持自动化测试脚本生成和辅助功能开发。项目采用模块化设计,提��供API接口与多种输出格式,适用于跨平台应用场景。核心算法优化了元素定位精度,在动态界面和复杂布局场景下保持稳定解析能力。
Grok3
埃隆·马斯克旗下的人工智能公司 xAI 推出的第三代大规模语言模型
Grok3 是由埃隆·马斯克旗下的人工智能公司 xAI 推出的第三代大规模语言模型,常被马斯克称为“地球上最聪明的 AI”。它不仅是在前��代产品 Grok 1 和 Grok 2 基础上的一次飞跃,还在多个关键技术上实现了创新突破。
腾讯元宝
腾讯自研的混元大模型AI助手
腾讯元宝是腾讯基于自研的混元大模型推出的一款多功能AI应用,旨在通过人工智能技术提升用户在写作、绘画、翻译、编程、搜索、阅读总结等多个领域的工作与生活效率。
Windsurf Wave 3
Windsurf Editor推出第三次重大更新Wave 3
新增模型上下文协议支持与智能编辑功能。本次更新包含五项核心改进:支持接入MCP协议扩展工具生态,Tab键智能跳转提升编码效率,Turbo模式实现自动化终端操作,图片拖拽功能优化多模态交互,以及面向付费用户的个性化图标定制。系统同步集成DeepSeek、Gemini等新模型,并通过信用点数机制实现差异化的资源调配。
Cursor
增强编程效率的AI代码编辑器
Cursor作为AI驱动的代码编辑工具,助力开发者效率大幅度提升。该工具简化了扩展、主题和键位配置的导入,可靠的隐私保护措施保证代码安全,深受全球开发者信赖。此外,Cursor持续推出更新,不断优化功能和用户体验。
Manus
全面超越基准的 AI Agent助手
Manus 是一款通用人工智能代理平台,能够将您的创意和想法迅速转化为实际成果。无论是定制旅行规划、深入的数据分析,还是教育支持与商业决策,Manus 都能高效整合信息,提供精准解决方案。它以直观的交互体验和领先的技术,为用户开启了一个智慧驱动、轻松高效的新时代,让每个灵感都能得到完美落地。
飞书知识问答
飞书官方推出的AI知识库 上传word pdf即可部署AI私有知识库
基于DeepSeek R1大模型构建的知识管理系统,支持PDF、Word、PPT等常见文档格式解析,实现云端与本地数据的双向同步。系统具备实时网络检索能力,可自动关联外部信息源,通过语义理解技术处理结构化与非结构化数据。免费版本提供基础知识库搭建功能,适用于企业文档管理和个人学习资料整理场景。
酷表ChatExcel
大模型驱动的Excel数据处理工具
基于大模型交互的表格处理系统,允许用户通过对话方式完成数据整理和可视化分析。系统采用机器学习算法解析用户指令,自动执行排序、公式计算和数据透视等操作,支持多种文件格式导入导出。数据处理响应速度保持在0.8秒以内,支持超过100万行数据的即时分析。
DeepEP
DeepSeek开源的专家并行通信优化�框架
DeepEP是一个专为大规模分布式计算设计的通信库,重点解决专家并行模式中的通信瓶颈问题。其核心架构采用分层拓扑感知技术,能够自动识别节点间物理连接关系,优化数据传输路径。通过实现动态路由选择与负载均衡机制,系统在千卡级计算集群中维持稳定的低延迟特性,同时兼容主流深度学习框架的通信接口。
推荐工具精选
AI云服务特惠
懂AI专属折扣关注微信公众号
最新AI工具、AI资讯
独家AI资源、AI项目落地
微信扫一扫关注公众号