Maven 项目审计技巧 快速检查依赖漏洞
最近审计了挺多 Java 项目的,发现他们大多使用了 Maven 管理依赖,而在代码审计的时候,如果能够快速发现依赖存在漏洞,则可以帮助我们快速定位漏洞点。
最近审计了挺多 Java 项目的,发现他们大多使用了 Maven 管理依赖,而在代码审计的时候,如果能够快速发现依赖存在漏洞,则可以帮助我们快速定位漏洞点。
昨天在 Github 上找项目审计,找到了一个高星 Go 项目,发现里面使用到了 zip 解压的操作。记得很久之前看过一个文章,如果 zip 的文件名中包含 ../
可以造成目录穿越。简单试了一下,发现确实存在漏洞,能够在系统任意目录创建任意文件。
这几天参与到了攻防演练后端的开发项目,项目进入到最终部署阶段,由于是前后端分离的项目,所以对 nginx 的反向代理进行了学习。发现了 nginx.conf
配置文件中 access.log
字段可以获取到客户端的大部分请求数据,故有了使用反向代理进行钓鱼,获取客户端的登录数据盗取密码的思路。