Java 安全代码
Java 安全代码是一个非常强大且友好的项目,用于学习 Java 漏洞代码。
中文文档 😋
招聘
介绍
这个项目也可以称为 Java 漏洞代码。
每种漏洞类型的代码默认都存在安全漏洞,除非没有漏洞。相关的修复代码在注释或代码中。具体可以查看每个漏洞代码和注释。
由于服务器过期,在线演示网站不得不下线。
登录用户名和密码:
admin/admin123
joychou/joychou123
漏洞代码
按字母排序。
- Actuators 到 RCE
- 命令注入
- 跨域资源共享
- CRLF 注入
- 跨站请求伪造
- CVE-2022-22978
- 反序列化
- Fastjson
- 文件上传
- GetRequestURI
- IP 伪造
- Java RMI
- JSONP
- Log4j
- ooxmlXXE
- 路径遍历
- QLExpress
- 远程代码执行
- Runtime
- ProcessBuilder
- ScriptEngine
- Yaml 反序列化
- Groovy
- Shiro
- Swagger
- SpEL
- SQL 注入
- 服务器端请求伪造
- 服务器端模板注入
- URL 重定向
- URL 白名单绕过
- xlsxStreamerXXE
- 跨站脚本
- XStream
- XML 外部实体注入
- JWT
漏洞描述
- 执行器到RCE
- 跨域资源共享
- 跨站请求伪造
- 反序列化
- Fastjson
- Java RMI
- JSONP
- POI-OOXML XXE
- SQL注入
- 服务器端请求伪造
- 服务器端模板注入
- URL白名单绕过
- XML外部实体注入
- JWT
- 其他
如何运行
该应用程序将使用mybatis自动注入。请提前运行mysql服务器,并配置mysql服务器数据库的名称和用户名/密码(除Docker环境外)。
spring.datasource.url=jdbc:mysql://127.0.0.1:3306/java_sec_code
spring.datasource.username=root
spring.datasource.password=woshishujukumima
- Docker
- IDEA
- Tomcat
- JAR
Docker
启动Docker:
docker-compose pull
docker-compose up
停止Docker:
docker-compose down
Docker环境:
- Java 1.8.0_102
- MySQL 8.0.17
- Tomcat 8.5.11
IDEA
git clone https://github.com/JoyChou93/java-sec-code
- 在IDEA中打开并点击"运行"按钮。
示例:
http://localhost:8080/rce/exec?cmd=whoami
返回:
Viarus
Tomcat
git clone https://github.com/JoyChou93/java-sec-code
并cd java-sec-code
- 通过
mvn clean package
构建war包。 - 将war包复制到tomcat的webapps目录。
- 启动tomcat应用程序。
示例:
http://localhost:8080/java-sec-code-1.0.0/rce/runtime/exec?cmd=whoami
返回:
Viarus
JAR
在 pom.xml
中将 war
改为 jar
。
<groupId>sec</groupId>
<artifactId>java-sec-code</artifactId>
<version>1.0.0</version>
<packaging>war</packaging>
构建包并运行。
git clone https://github.com/JoyChou93/java-sec-code
cd java-sec-code
mvn clean package -DskipTests
java -jar target/java-sec-code-1.0.0.jar
认证
登录
如果您未登录,访问任何页面都将重定向到登录页面。用户名和密码如下。
admin/admin123
joychou/joychou123
登出
记住我
Tomcat默认的JSESSION会话有效期为30分钟,因此30分钟不操作会话就会过期。为了解决这个问题,引入了rememberMe功能,默认过期时间为2周。
贡献者
核心开发者:JoyChou, liergou9981 其他开发者:lightless, Anemone95, waderwu。
支持
如果您喜欢这个项目,可以给java-sec-code项目点个星标来支持我。有了您的支持,我将能够使Java sec code
变得更好😎。