1. 基本概念 Filter(过滤器) 是 Java Web 应用中的一个组件,作用是在请求到达 Servlet 前,对请求和响应进行拦截、预处理或后处理。 特点: 介于 客户端请求 与 Servlet 之间 常见用途:认证、日志记录、请求参数处理 执行顺序:请求先经过 Filter → 再传递给 Servlet → 响应可再次经过 Filter …
Java 内存马(二):Filter 内存马
Java 内存马(一):Servlet 内存马
1. 基本概念 Servlet 内存马 是通过 运行时动态注册 Servlet 的方式,将恶意 Servlet 植入 Web 容器中。 特点: 无文件落地:不依赖磁盘上的 class 文件或 web.xml 配置 驻留内存:直至容器重启前一直存在 隐蔽性高:通过 URL 请求即可触发,常规查杀不易发现 常见利用场景:攻击者上传一个 JSP 文件,通…
PHP 代码审计指南
在 Web 安全领域,PHP 代码审计是识别和修复应用程序安全隐患的关键环节。由于 PHP 语言的灵活性和易用性,其代码中常存在各类可被攻击者利用的漏洞。本文将系统梳理 PHP 开发中常见的高风险漏洞类型,剖析其原理、示例及审计要点,为安全审计人员和开发人员提供参考。 一、代码执行漏洞 代码执行漏洞源于对可执行代码的函数滥用,攻击者可通过可控参数注…
Java 常用框架 SQL 注入审计指南
在 Java 开发中,SQL 注入是一种常见且危害巨大的安全漏洞。本文将针对 Java 常用的几种框架,深入分析 SQL 注入的产生原因、常见漏洞场景及安全解决方案,为开发者和安全审计人员提供参考。 一、SQL 注入存在条件 Java 作为强类型语言,SQL 注入风险的存在具有特定条件:仅当String 类型变量参与 SQL 语句构建时,才可能存在…
Java 代码审计指南
在当今数字化时代,Java 应用程序的安全性至关重要。代码审计作为保障应用安全的关键环节,能够帮助我们提前发现潜在的安全漏洞。本文将详细介绍 Java 代码审计的思路方法以及常见基础漏洞的审计要点,为安全从业者和开发人员提供参考。 一、代码审计思路和方法 进行 Java 代码审计时,可采用以下四种主要思路和方法,它们各有优劣,适用于不同场景: 逆向…
Hydra 工具使用
一、工具概述 Hydra 是一款功能强大的暴力破解工具,支持多种网络协议与服务的账号密码破解(如 SSH、FTP、RDP、HTTP 等)。其核心优势在于多协议适配与高并发破解能力,破解成功率主要依赖于字典的完整性与针对性,常用于渗透测试中的社工型渗透场景。 二、基础语法 # hydra [[[-l LOGIN|-L FILE] [-p PASS|-…
企业资产查询平台
在商业活动中,无论是合作洽谈、投资决策还是市场调研,精准掌握企业资产与信息都至关重要。以下梳理常用及特色企业资产查询平台,助力高效获取企业数据。 主流平台速览 爱企查(https://www.aiqicha.com/) 依托百度大数据,覆盖企业工商信息、股东架构、司法风险、经营状况等全维度数据。 核心优势:查询便捷,支持关联企业图谱可视化分析,能快…
拿到基础 Shell 后如何获取完整 Shell
当通过反弹等方式拿到基础 Shell 后,往往面临无法使用vim、top、sudo等交互命令的问题(因缺乏 tty 环境)。以下是 4 种升级为完整交互 Shell 的核心方法,无需重复描述监听过程,聚焦于拿到 Shell 后的操作: 一、Python pty 快速升级(最常用) 适用条件 目标主机已安装 Python(多数 Linux 系统默认预…
实用病毒检测在线平台汇总
在网络安全至关重要的当下,病毒检测工具是守护设备与数据安全的关键防线。以下为你介绍几款实用的病毒检测在线平台: 一、VirScan - 多引擎文件在线检测平台(https://www.virscan.org/ ) 该平台集成多引擎检测优势,能借助不同杀毒引擎对文件进行扫描,从多维度排查病毒隐患,为用户提供更全面的检测结果 ,适合对文件安全性有较高要…
内网穿透工具
在复杂的网络环境中,有时我们需要让处于内网的服务或设备被外网访问,内网穿透工具便派上了用场。它能突破内网限制,无需对公网 IP 和复杂的路由进行设置,即可实现内外网的连接。以下为你介绍几款实用的内网穿透工具: (一)frp 地址:https://github.com/fatedier/frp/releases 介绍:一款用 Go 语言编写的高性能反…