关于项目
  • 安全服务方面:帮助安全服务人员理解漏洞原理(产生、修复、审计),以及对应漏洞流量分析
  • 甲方安全方面:可作为开发安全培训演示,友好的交互方式,帮助研发同学更容易理解漏洞
  • 安全研究方面:各种漏洞的不同触发场景,可用于xAST等安全工具测试
  • V1.4

    支持漏洞模块:

    • 跨站脚本攻击、跨站请求伪造、CORS、JSONP、URL重定向、XFF伪造、拒绝服务、XPATH注入
    • SQL注入、任意文件系列、跨服务端请求伪造、XML实体注入、RCE
    • 逻辑漏洞(IDOR、验证码安全、支付漏洞、并发安全)、敏感信息泄漏系列、登录对抗系列
    • SPEL注入、SSTI注入、反序列化、组件漏洞
  • 2024-05

    完成系统技术选型、架构设计、相关靶场项目调研……
    技术栈:SpringBoot+Spring Security+MyBatis+Thymeleaf+Layui
    这里暂时只做了简单认证实现、权限分级/人员管理等复杂鉴权功能后续待实现……
    架构设计:前后端不分离,在通用后端管理框架基础上,添加一个个漏洞模块……
    参考项目:Hello-Java-Sec JavaSec

  • 2024-03

    一个想法💡