62天框架安全(学习)

发现学了之后没有去复习,每天都要问自己学了什么,复习了吗,下次还能记住吗

一下内容来自【小迪安全2023】第62天:服务攻防-框架安全&CVE复现&Spring&Struts&Laravel&ThinkPHP_小迪安全文档2023-CSDN博客

复制代码
一个网站的源码应用,比如:实现文件上传功能
1.源码采用框架开发的
完全依赖于框架自身的安全机制,安不安全完全取决于这个框架。
比较简单,方便


2.源码采用原生态开发的
整个的文件上传功能都是自己写的,自己控制,自己过滤。
比较复杂,需要从0开始

0x3 案例分析

1、PHP-开发框架安全-Thinkphp&Laravel

thinkphp3.2.x 代码执行

ThinkPHP5 5.0.23

laravel-cve_2021_3129

2、JAVAWEB-开发框架安全-Spring&Struts2

strust2 CVE-2020-17530

strust2 CVE_2021_31805

3、spring框架

spring 代码执行 (CVE-2017-4971)

都是利用工具复现的,工具么装好,先记住吧,利用wappalyzer直接扫描框架,也可以在响应头找框架信息

相关推荐
Waay5 小时前
面试口述版:个人对 Prometheus 完整理解
运维·学习·云原生·面试·职场和发展·kubernetes·prometheus
一楼的猫7 小时前
AI写作合规技术方案:平台检测机制分析与规避策略
人工智能·学习·机器学习·ai写作
四月天439 小时前
web安全-SSTI(服务器模板注入)
笔记·学习·web安全·网络安全
网络与设备以及操作系统学习使用者9 小时前
相对论核心原理详解
学习·深度优先
吃好睡好便好12 小时前
泰戈尔的诗歌7
学习·生活
-To be number.wan12 小时前
数据库系统 | 规范化理论
数据库·学习
星夜夏空9913 小时前
C++学习(2) —— 类与对象基础
开发语言·c++·学习
-To be number.wan13 小时前
数据库系统 | 数据库安全与完整性
数据库·学习
czysoft14 小时前
se被限速
科技·学习·it·技术·魔法·先进·领先
子不语18014 小时前
从0开始学习S7-1200+ET200SP(3)——两台S7-1200通过TCP连接
网络协议·学习·tcp/ip