62天框架安全(学习)
发现学了之后没有去复习,每天都要问自己学了什么,复习了吗,下次还能记住吗
一下内容来自【小迪安全2023】第62天:服务攻防-框架安全&CVE复现&Spring&Struts&Laravel&ThinkPHP_小迪安全文档2023-CSDN博客
一个网站的源码应用,比如:实现文件上传功能
1.源码采用框架开发的
完全依赖于框架自身的安全机制,安不安全完全取决于这个框架。
比较简单,方便
2.源码采用原生态开发的
整个的文件上传功能都是自己写的,自己控制,自己过滤。
比较复杂,需要从0开始
0x3 案例分析
1、PHP-开发框架安全-Thinkphp&Laravel
thinkphp3.2.x 代码执行
ThinkPHP5 5.0.23
laravel-cve_2021_3129
2、JAVAWEB-开发框架安全-Spring&Struts2
strust2 CVE-2020-17530
strust2 CVE_2021_31805
3、spring框架
spring 代码执行 (CVE-2017-4971)
都是利用工具复现的,工具么装好,先记住吧,利用wappalyzer直接扫描框架,也可以在响应头找框架信息
