web安全——Mybatis防止SQL注入& ssrf漏洞利用& DNS污染&同源策略

目录

0x01 Mybatis防止SQL注入

0x02 sqlmap中报错注入判断

0x03 ssrf漏洞利用

0x04 SSRF重绑定

0x05 DNS污染

5.1 解析过程

5.2 漏洞分类

5.3 host DNS

5.4 remote DNS

5.5 防御

0x06 CORS安全

1. CSRF（Cross-Site Request Forgery）攻击

2. 认证信息泄漏

3. 暴露敏感信息

0x07 JSONP安全

1. 客户端数据被劫持

2. 服务器信息泄露

3. JSONP只支持GET请求

4、实战演示

0x08 JNDI注入

8.1 支持的协议

8.2 JDK1.8 防御

8.3 绕过

0x01 Mybatis防止SQL注入

Mybatis是一款流行的Java ORM框架，它提供了多种防御SQL注入的方式，包括：
 

1. 参数化查询：使用#{}占位符替代SQL语句中的参数，Mybatis会自动将参数转义，避免SQL注入攻击。例如：

  SELECT * FROM user WHERE username = #{username} AND password = #{password}

2. 使用动态SQL：Mybatis提供了强大的动态SQL功能，可以根据不同的条件动态生成SQL语句，避免拼接SQL字符串导致的注入漏洞。例如：

 <select id="getUser" parameterType="Map" resultType="User">
     SELECT * FROM user
&n