Author :看到 Halo 0.4.3 Issue 上还挺多的,而且作者打算写新的版本,目前的版本大部分都还没修。这个还是有点多的,不过大部分都是后台。这个是一个 Java SpringBoot 写的 Web 应用,相关部署和源码分析可以见我的其它文章。如果要别人的网站,可以先使用评论处存储型XSS,获取到管理员 session
转载
2024-08-29 13:12:20
187阅读
一、接口开关功能 1、可配置化,依赖配置中心 2、接口访问权限可控 3、springmvc不会扫描到,即不会直接的将接口暴露出去二、接口开关使用场景 和业务没什么关系,主要方便查询系统中的一些状态信息。比如系统的配置信息,中间件的状态信息。这就需要写一些特定的接口,不能对外直接暴露出去(即不能被springmvc扫描到,不能被swagger扫描到)。三、SimpleUrlHandlerMa
转载
2024-06-27 20:37:40
594阅读
前言Spring Security 是针对 Spring 项目的安全框架,也是 Spring Boot 底层安全模块默认的技术选型。他可以实现强大的 web 安全控制。对于安全控制,我们仅需引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理。记住几个类:WebSecurityConfigurerAdapter:自定义 Security 策略
转载
2024-03-26 07:15:18
34阅读
前言在进行框架选型时最常用的选择就是在Spring security 和Shiro中进行抉择,Spring security 和 shiro 一样,都具有认证、授权、加密等用于权限管理的功能。但是对于Springboot而言,Spring Security比Shiro更合适一些,他们都是Spring生态里的内容,并且在使用上Spring boot只需要引入Security就可以实现基础的登陆验证。
转载
2024-05-28 15:00:23
193阅读
一、Spring boot与安全1、安全 应用程序的两个主要区域是“认证”和“授权”(或者访问控制),这两个主要区域是安全的两个目标。 身份验证意味着确认您自己的身份,而授权意味着授予对系统的访问权限认证身份验证是关于验证您的凭据,如用户名/用户ID和密码,以验证您的身份。系统确定您是否就是您所说的使用凭据。在公共和专用网络中,系统通过登录密码验证用户身份。身份验证通常通过用户名和密码完成,授权另
转载
2024-03-12 17:45:24
20阅读
因为 Basic Auth 的身份信息是写在请求中,被截获账号密码可能会泄露,为此增加一重ip认证 在实际应用中,可能会用spring boot 写一些微服务去做底层的一些预处理,然后再开放一些接口传输数据。为了安全,同城要做一些访问的认证,也不用选太复杂的认证方式,就用 Basic Auth就可以,再在此基础上再做一些认证,比如这里的ip。为此,需要两个方面的思考
转载
2024-03-24 16:19:19
158阅读
1. 为什么要实现动态的获取 antMatchers 配置的数据 这两天由于公司项目的需求,对 spring security 的应用过程中需要实现动态的获取 antMatchers ,permitAll , hasAnyRole , hasIpAdd
关键词:SpringBoot文件上传、文件上传丢失、MultipartFile、transferToMultipartFile的transferTo方法的时候,文件保存成功,系统也没有任何报错,但就是在自己指定的位置找不到想要的文件,为了搞清楚我的文件被SpringBoot搞到哪里去了,通过跟踪源码,我发现了一个大坑,具体是啥,且听我慢慢道来。1. 测试环境搭建1.1 新建一个SpringBoot
转载
2024-03-22 09:43:10
527阅读
几乎每个应用程序都会使用一个应用程序编程接口(API)。然而,从安全的角度来看,API也伴随着一些常见的问题。Gartner预测,API滥用将是2022年最常见的攻击类型。那么,API到底面临着什么问题呢?数据安全保护者应该如何做呢?普遍的API风险2019年,OWASP公布了10个需要注意的Web应用数据安全风险。包括:数据暴露:当开发人员公开其对象的所有属性而不考虑这些项目的私密程度的情况下,
转载
2023-10-30 12:49:05
254阅读
关于git泄露的一些简单操作关于.git泄漏可以使用GitHack进行.git泄露的利用,工具下载地址:https://github.com/BugScanTeam/GitHack我这里是windows10环境,使用是需要将git环境安装在环境变量里。安装了git后, 在当前文件夹右键打开git bash环境(这里的python版本为2.7)python GitHack.py http://cha
转载
2024-09-18 21:09:35
246阅读
Tika 主要特性Apache Tika 是一个功能强大的内容分析工具,它能够从多种文件格式中提取文本、元数据以及其他结构化信息。以下是 Apache Tika 的主要特性:多格式支持Tika 的最大特点之一就是支持广泛的文件格式。它能够解析和提取多种文档类型的内容,包括但不限于:办公文档 :如 Microsoft Word(.doc, .docx)、Excel(.xls, .
Apache Tika 是一个功能强大的内容分析工具,它能够从多种文件格式中提取文本、元数据以及其他结构化信息。以下是 Apache Tika 的主要特性:1. 多格式支持Tika 的最大特点之一就是支持广泛的文件格式。它能够解析和提取多种文档类型的内容,包括但不限于:办公文档:如 Microsoft Word(.doc, .docx)、Excel(.xls, .xlsx)、P
定义一个枚举,标明字段类型@Getter
@AllArgsConstructor
public enum ReadableSensitiveTypeEnum {
/**
* 身份证编号
*/
ID_CARD("身份证"),
/**
* 地址/住址
*/
ADDRESS("地址"),
/**
* 姓名
转载
2024-06-17 12:04:33
97阅读
SpringBoot + Tika 实现数据泄露防护、检测敏感信息
一、常见的内存泄露类型 1.造成内存泄露的代码: (1)循环引用 (2)自动类型装箱转换 (3)某些DOM 操作 2.循环引用 著名循环引用的例子(IE6,FF2): function A(){
var a=document.createElement("div");
a.οnclick=function(){
alert("hi");
}
}
A()
转载
2024-01-22 09:41:09
121阅读
最近在整理笔记,找到了之前为某厂商的测试记录,特此分几篇文章来记录下用到的一些小技巧,以提高渗透测试效率。今天的主题是:Javascript 接口安全,JavaScript文件泄露有可能会给我们的信息收集带来极大的便利,如子域名、后台地址、泄露的口令等信息,另一方面也可能会造成很多安全隐患,如JS劫持、蠕虫等攻击。0x01 什么是JavaScriptJavaScript 是 web 开发者必学的三
转载
2024-05-18 17:06:08
116阅读
博客中涉及的源码,下载地址在博客文章底部,有需要的小伙伴自行下载一、简介 SpringSecurity 是针对Spring项目的安全框架,也是Spring Boot底层安全模块的技术选项。他可以实现强大的web安全控制。对于安全控制,我们需要引入spring-boot-starter-securiy模块。<dependency>
<groupId>org.sprin
转载
2024-04-02 17:09:01
75阅读
【漏洞公告】Spring 框架及组件多个安全漏洞2018年5月8日,阿里云云盾应急响应中心监测到Spring官方发布3个严重,2个高危漏洞,漏洞涉及Spring Messaging组件,Spring Security框架,Spring Data 框架等多个模块,攻击者可利用该漏洞实施远程代码执行攻击,DoS,绕过安全限制获取敏感信息。漏洞详情见下文漏洞编号CVE-2018-1257CVE-2018
转载
2024-04-30 20:55:37
65阅读
0x00 前言在查资料的时候突然发现真的好卷,新漏洞出来没多久,各个大佬就已经写好了分析文章,由于这个漏洞排查产品中不存在,所以就一直犯懒没有去看,终归还是要补回来的。文章若有言语不妥之处还请见谅。概述还是先了解一下Spring Cloud Gateway是个啥,使用Spring Cloud Gateway的主要目的是为了取代Netflix Zuul,二者最大的差异实际上就是性能问题。Netfli
# 实现“Java日志敏感信息泄露”教程
## 整体流程
下面是实现“Java日志敏感信息泄露”的整体流程,可以用表格展示步骤:
| 步骤 | 描述 |
| ---- | ---- |
| 1 | 引入日志框架 |
| 2 | 配置日志框架 |
| 3 | 编写日志输出代码 |
| 4 | 在输出敏感信息的地方使用日志输出 |
## 具体步骤
### 1. 引入日志框架
首先需要在项目
原创
2024-05-04 06:57:34
130阅读
