看描述非常全面,适合对于Java站的安全学习,毕竟Java站还是跟PHP站在某些方面是不一样的
Burt Force(暴力破解漏洞)
XSS(跨站脚本漏洞)
CSRF(跨站请求伪造)
SQL-Inject(SQL注入漏洞)
RCE(远程命令执行)
任意文件上传
任意文件下载
目录遍历漏洞
JAVA反序列化漏洞
XXE(XML实体注入漏洞)
不安全的URL重定向
SSRF(服务器端请求伪造)
SPEL(表达式注入)
SSTI(模板注入)
文件包含漏洞
敏感信息泄露漏洞
越权漏洞
留存,拓展对于Shiro的攻击面探索 其实更多的是对于那个工具的使用 个人认为亮点在于返回包不是rememberMe=deleteMe而是xxxx=deleteMe时该怎么设置