密碼出現位置:
1.properties字尾檔案
2.java字尾檔案
3.xml字尾檔案
相關 - 關鍵詞:
1.password
2.pass
3.jdbc
4.username
5.其他第三方軟體(Redis)
例如:
![](https://img.laitimes.com/img/_0nNw4CM6IyYiwiM6ICdiwiI0gTMx81dsQWZ4lmZf1GLlpXazVmcvwFciV2dsQXYtJ3bm9CX9s2RkBnVHFmb1clWvB3MaVnRtp1XlBXe0xCMy81dvRWYoNHLwEzX5xCMx8FesU2cfdGLwMzX0xiRGZkRGZ0Xy9GbvNGLpZTY1EmMZVDUSFTU4VFRR9Fd4VGdsYTMfVmepNHLrJXYtJXZ0F2dvwVZnFWbp1zczV2YvJHctM3cv1Ce-cmbw5COwgTO0IWOwgTO2MDZyYmYyYzX4UTMyEDMyAzLcdDMyIDMy8CXn9Gbi9CXzV2Zh1WavwVbvNmLvR3YxUjLyM3Lc9CX6MHc0RHaiojIsJye.png)
指令注入(是否存在以及繞過的可能)
關鍵詞:
1.getRuntime
2.exec
3.ProcessBuilder
4.shell
檔案上傳點
關鍵詞:
1.upload
2.MultipartFile
3.fileName
4.filePath
越權,URL跳轉
關鍵詞:
1.sendRedirect
2.setHeader
3.forward
其他
sql注入:Select、Dao、 from、delete、update、insert、createStatement
反序列化:readObject,readUnshared、JSON.parseObject
XSS注入: getParamter,param
XML注入:XMLStreamReader、SAXReader、XMLReader等
Fortify審計工具