怎么攻击Java Web应用
发布时间:2022-06-27 16:07:53 所属栏目:安全 来源:互联网
导读:越来越多的企业采用Java语言构建企业Web应用程序,基于Java主流的框架和技术及可能存在的风险,成为被关注的重点。 本文从黑盒渗透的角度,总结下Java Web应用所知道的一些可能被利用的入侵点。 一、中间件漏洞 基于Java的Web项目部署会涉及一些中间件,一旦
|
越来越多的企业采用Java语言构建企业Web应用程序,基于Java主流的框架和技术及可能存在的风险,成为被关注的重点。 本文从黑盒渗透的角度,总结下Java Web应用所知道的一些可能被利用的入侵点。 一、中间件漏洞 基于Java的Web项目部署会涉及一些中间件,一旦中间件配置不当或存在高危漏洞,就会严重影响到整个系统的安全。 1. Web中间件 Weblogic系列漏洞: 弱口令 && 后台getshell SSRF漏洞 反序列化RCE漏洞 Jboss系列漏洞: 未授权访问Getshell 反序列化RCE漏洞 Tomcat系列漏洞: 弱口令&&后台getshell Tomcat PUT方法任意写文件漏洞 Resin系列漏洞: 弱口令&&后台getshell 任意文件读取漏洞 2. 缓存/消息/搜索/分布式中间件 Redis系列漏洞: 未授权访问getshell 主从复制RCE ActiveMQ系列漏洞: ActiveMQ任意文件写入漏洞 ActiveMQ反序列化漏洞 Kafka系列漏洞: 未授权访问漏洞 反序列化漏洞 Elasticsearch系列漏洞: 命令执行漏洞 写入webshell漏洞 ZooKeeper系列漏洞: 未授权访问漏洞 框架及组件漏洞 二、框架及组件漏洞 基于Java开发的Web应用,会使用到各种开发框架和第三方组件,而随着时间推移,这些框架和组件可能早已不再安全了。 1. 开发框架 Struts2 系列漏洞: S2-001 到 S2-061漏洞 安全公告:https://cwiki.apache.org/confluence/display/WW/Security+Bulletins Spring 系列漏洞: Spring Boot Actuator 未授权访问 Springt Boot 相关漏洞:https://github.com/LandGrey/SpringBootVulExploit Dubbo 系列漏洞: Dubbo 反序列化漏洞 Dubbo 远程代码执行漏洞 2. 第三方组件 Shiro 系列漏洞: Shiro 默认密钥致命令执行漏洞 Shiro rememberMe 反序列化漏洞(Shiro-550) Shiro Padding Oracle Attack(Shiro-721) Fastjson 系列漏洞: Fastjson反序列化RCE Fastjson远程命令执行 Jackson系列漏洞: 反序列化RCE漏洞 Solr系列漏洞: XML实体注入漏洞 文件读取与SSRF漏洞 远程命令执行漏洞 JWT漏洞: 敏感信息泄露 伪造token 暴力破解密钥 3. API 接口漏洞 基于前后端分离的开发模式,都需要通过调用后端提供的接口来进行业务交互,api接口安全测试是一项非常重要的任务。 API Security:  (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号