越来越多的企业采用Java语言构建企业Web应用程序,基于Java主流的框架和技术及可能存在的风险,成为被关注的重点。
本文从黑盒渗透的角度,总结下Java Web应用所知道的一些可能被利用的入侵点。
1、中间件漏洞
基于Java的Web项目部署会涉及一些中间件,一旦中间件配置不当或存在高危漏洞,就会严重影响到整个系统的安全。
1.1 Web中间件
Weblogic系列漏洞:
Jboss系列漏洞:
Tomcat系列漏洞:
Websphere系列漏洞:
Coldfusion系列漏洞:
GlassFish系列漏洞:
Resin系列漏洞:
1.2 缓存/消息/搜索/分布式中间件
Redis系列漏洞:
ActiveMQ系列漏洞:
Kafka系列漏洞:
Elasticsearch系列漏洞:
ZooKeeper系列漏洞:
2、框架及组件漏洞
基于Java开发的Web应用,会使用到各种开发框架和第三方组件,而随着时间推移,这些框架和组件可能早已不再安全了。
2.1 开发框架
2.1.1 Struts2 系列漏洞
2.1.2 Spring 系列漏洞
2.1.3 SpringCloud 系列漏洞
2.1.4 Dubbo 系列漏洞
2.2、第三方组件
2.2.1 Shiro 系列漏洞
2.2.2 Fastjson 系列漏洞
2.2.3 Jackson系列漏洞
2.2.4 Solr系列漏洞
2.2.5 JWT漏洞
3、API 接口漏洞
基于前后端分离的开发模式,都需要通过调用后端提供的接口来进行业务交互,api接口安全测试是一项非常重要的任务。
3.1 API Security
3.2 常见API相关漏洞
版权声明:
本文来源网络,所有图片文章版权属于原作者,如有侵权,联系删除。
本文网址:https://www.bianchenghao6.com/java-jiao-cheng/12709.html