{"id":379261,"date":"2024-06-20T09:00:12","date_gmt":"2024-06-20T09:00:12","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=379261"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=379261","title":{"rendered":"<span>\u00ab\u0421\u043a\u0440\u0438\u043f\u0430\u0447 \u043d\u0435 \u043d\u0443\u0436\u0435\u043d\u00bb \u0438\u043b\u0438 \u0447\u0442\u043e \u0434\u0435\u043b\u0430\u0442\u044c \u0441 \u0442\u0435\u0441\u0442\u043e\u0432\u044b\u043c\u0438 \u043f\u0430\u0440\u043e\u043b\u044f\u043c\u0438<\/span>"},"content":{"rendered":"<div><!--[--><!--]--><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-2\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<p>\u0412\u00a0\u043b\u044e\u0431\u043e\u0439 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0435 \u0440\u0430\u043d\u043e \u0438\u043b\u0438\u00a0\u043f\u043e\u0437\u0434\u043d\u043e \u043f\u043e\u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f <em>\u0442\u0435\u0441\u0442\u043e\u0432\u044b\u0435 \u0441\u0442\u0435\u043d\u0434\u044b<\/em>\u00a0\u2014 \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0435 \u0438\u043d\u0441\u0442\u0430\u043b\u043b\u044f\u0446\u0438\u0438 \u0442\u0435\u0441\u0442\u043e\u0432\u043e\u0439 \u0441\u0431\u043e\u0440\u043a\u0438 \u0432\u0430\u0448\u0435\u0439 \u0440\u0430\u0437\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u043c\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u044b, \u0441\u00a0\u0442\u0435\u0441\u0442\u043e\u0432\u044b\u043c\u0438 \u0434\u0430\u043d\u043d\u044b\u043c\u0438 \u0438 \u0442\u0435\u0441\u0442\u043e\u0432\u044b\u043c\u0438\u00a0\u0436\u0435 \u0443\u0447\u0435\u0442\u043d\u044b\u043c\u0438 \u0437\u0430\u043f\u0438\u0441\u044f\u043c\u0438. \u0418\u043c\u0435\u043d\u043d\u043e \u043e\u0442\u0441\u044e\u0434\u0430 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u0437\u043d\u0430\u043c\u0435\u043d\u0438\u0442\u043e\u0435 \u00ab<strong>admin\/admin<\/strong>\u00bb, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u0432\u0431\u0438\u0432\u0430\u043b \u0432\u00a0\u043f\u043e\u043b\u044f \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438 \u043d\u0430\u0432\u0435\u0440\u043d\u043e\u0435 \u043a\u0430\u0436\u0434\u044b\u0439 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a.<\/p>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u044c\u0442\u0435 \u0447\u0442\u043e \u0443 \u0432\u0430\u0441 \u0432 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0435 \u043d\u0435 \u043e\u0434\u0438\u043d \u043f\u0440\u043e\u0435\u043a\u0442 \u0430 \u0441\u043a\u0430\u0436\u0435\u043c <strong>50<\/strong>, \u0447\u0430\u0441\u0442\u044c \u0438\u0437 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0442\u0440\u0435\u0431\u0443\u0435\u0442 \u0441\u0440\u0430\u0437\u0443 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u0445 \u0441\u0442\u0435\u043d\u0434\u043e\u0432. \u0417\u043d\u0430\u043a\u043e\u043c\u043e? <\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w780q1\/getpro\/habr\/upload_files\/e34\/8ea\/b37\/e348eab3709b32d1417136801592093c.jpg\" alt=\"Jira, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0431\u043e\u043b\u044c\u0448\u0435 \u043d\u0435 \u043f\u0440\u043e\u0441\u0438\u0442 \u043f\u0430\u0440\u043e\u043b\u0435\u0439.\" title=\"Jira, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0431\u043e\u043b\u044c\u0448\u0435 \u043d\u0435 \u043f\u0440\u043e\u0441\u0438\u0442 \u043f\u0430\u0440\u043e\u043b\u0435\u0439.\" width=\"1366\" height=\"768\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/e34\/8ea\/b37\/e348eab3709b32d1417136801592093c.jpg\" data-blurred=\"true\"\/><\/p>\n<div><figcaption>Jira, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0431\u043e\u043b\u044c\u0448\u0435 \u043d\u0435 \u043f\u0440\u043e\u0441\u0438\u0442 \u043f\u0430\u0440\u043e\u043b\u0435\u0439.<\/figcaption><\/div>\n<\/figure>\n<p>\u041f\u043e\u043c\u0438\u043c\u043e \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0438 \u0441\u00a0\u043d\u0443\u043b\u044f, \u0435\u0441\u0442\u044c \u0435\u0449\u0435 \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u0435 \u0433\u043e\u0442\u043e\u0432\u044b\u0445 \u0441\u0438\u0441\u0442\u0435\u043c\u00a0\u2014 \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u0434\u043b\u044f\u00a0\u0442<em>\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u043b\u0430\u0433\u0438\u043d\u043e\u0432<\/em> \u0438 \u0432\u00a0\u044d\u0442\u043e\u043c \u0437\u0430\u043c\u0435\u0447\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u043a\u00a0\u0442\u0435\u0441\u0442\u043e\u0432\u043e\u043c\u0443 \u043f\u0430\u0440\u043e\u043b\u044e \u043c\u043e\u0433\u0443\u0442 \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u0442\u044c\u0441\u044f \u0432\u043f\u043e\u043b\u043d\u0435 <em>\u0432\u0437\u0440\u043e\u0441\u043b\u044b\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438<\/em>\u00a0\u2014 \u0434\u043b\u0438\u043d\u0430, <s>\u0448\u0438\u0440\u0438\u043d\u0430,<\/s> \u0441\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0438 \u043d\u0430\u043b\u0438\u0447\u0438\u0435 \u0441\u043f\u0435\u0446\u0441\u0438\u043c\u0432\u043e\u043b\u043e\u0432. <\/p>\n<blockquote>\n<p>\u0410 \u043f\u043e\u0441\u043b\u0435 \u0442\u0440\u0435\u0445 \u043e\u0448\u0438\u0431\u043e\u043a \u0432\u0430\u043c \u0431\u0443\u0434\u0435\u0442 \u0432\u043a\u043b\u044e\u0447\u0430\u0442\u044c\u0441\u044f <em>\u043a\u0430\u043f\u0447\u0430<\/em>.  \u041f\u043e\u0441\u043b\u0435 \u043f\u044f\u0442\u0438\u00a0\u2014 \u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u043a\u0430 \u0443\u0447\u0435\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438 \u043d\u0430\u00a0\u0441\u0443\u0442\u043a\u0438.<\/p>\n<\/blockquote>\n<p>\u0418 \u0432\u0441\u0435 \u044d\u0442\u043e \u043d\u0430 \u0442\u0435\u0441\u0442\u043e\u0432\u043e\u043c \u0441\u0442\u0435\u043d\u0434\u0435 \u0434\u043b\u044f \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u043e\u0432, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043e\u0442 \u0442\u0430\u043a\u043e\u0439 \u0436\u0438\u0437\u043d\u0438 \u0440\u0430\u0437\u0443\u043c\u0435\u0435\u0442\u0441\u044f \u0441 \u043a\u0430\u0436\u0434\u044b\u043c \u0434\u043d\u0435\u043c \u0431\u0443\u0434\u0443\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u0434\u043e\u0431\u0440\u0435\u0435 \u0438 \u0441\u043f\u043e\u043a\u043e\u0439\u043d\u0435\u0435.<\/p>\n<p>\u041d\u043e\u00a0\u044d\u0442\u043e \u0435\u0449\u0435 \u043d\u0435\u00a0\u0432\u0441\u0435 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u044b, \u0441\u0430\u043c\u043e\u0435 \u0441\u0442\u0440\u0430\u0448\u043d\u043e\u0435 \u0447\u0442\u043e\u00a0\u0442\u0435\u0441\u0442\u043e\u0432\u044b\u0435 \u043f\u0430\u0440\u043e\u043b\u0438 \u043b\u0435\u0433\u043a\u043e,\u00a0\u0431\u044b\u0441\u0442\u0440\u043e \u0438 \u0440\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u043e <strong>\u043f\u043e\u043f\u0430\u0434\u0430\u044e\u0442 \u0432\u00a0\u043f\u0440\u043e\u0434\u0430\u043a\u0448\u043d<\/strong>\u00a0\u2014 \u0447\u0435\u0440\u0435\u0437 \u0434\u0430\u043c\u043f \u0431\u0430\u0437 \u0438\u043b\u0438\u00a0\u043f\u0440\u0435\u0432\u0440\u0430\u0449\u0435\u043d\u0438\u0435 \u0442\u0435\u0441\u0442\u043e\u0432\u043e\u0433\u043e \u0441\u0442\u0435\u043d\u0434\u0430 \u0432\u00a0\u043f\u0440\u043e\u0434\u0443\u043a\u0442\u043e\u0432\u044b\u0439, \u0447\u0442\u043e\u00a0\u0447\u0430\u0441\u0442\u043e \u0441\u043b\u0443\u0447\u0430\u0435\u0442\u0441\u044f \u0432\u00a0\u0441\u0442\u0430\u0440\u0442\u0430\u043f\u0430\u0445.<\/p>\n<p>\u041f\u0440\u0438\u00a0\u044d\u0442\u043e\u043c \u0432\u0441\u0435\u0433\u0434\u0430 \u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0447\u0442\u043e\u00a0\u0434\u043e\u0441\u0442\u0443\u043f \u043a\u00a0\u0442\u0435\u0441\u0442\u043e\u0432\u043e\u0439 \u0443\u0447\u0435\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438\u00a0\u0431\u044b\u043b \u0443\u00a0\u0448\u0438\u0440\u043e\u043a\u043e\u0433\u043e \u043a\u0440\u0443\u0433\u0430\u00a0\u043b\u0438\u0446\u00a0\u2014 \u00ab\u0434\u0430\u0436\u0435 \u0431\u043e\u0431\u0440\u044b \u0432\u0441\u0435 \u0437\u043d\u0430\u044e\u0442\u00bb (\u0446).<\/p>\n<p>\u0418 \u043e\u0442\u043a\u043b\u044e\u0447\u0430\u0442\u044c \u043f\u043e\u0442\u043e\u043c \u0442\u0430\u043a\u0443\u044e \u043e\u0431\u0449\u0443\u044e \u0443\u0447\u0435\u0442\u043d\u0443\u044e \u0437\u0430\u043f\u0438\u0441\u044c \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u0443\u044e \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u0443 (\u0447\u0435\u0440\u0435\u0437 \u043d\u0435\u0435 \u0436\u0435 \u0445\u043e\u0434\u044f\u0442 \u0438 \u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0449\u0438\u043a\u0438 \u0438 \u0430\u043d\u0430\u043b\u0438\u0442\u0438\u043a\u0438 \u0438 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0430),  \u0434\u0430\u0436\u0435 \u0435\u0441\u043b\u0438 \u043f\u043e\u043b\u043e\u0432\u0438\u043d\u0430 \u0438\u0437\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e\u0439 \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u0443\u0441\u043f\u0435\u043b\u0430 \u0443\u0432\u043e\u043b\u0438\u0442\u044c\u0441\u044f.<\/p>\n<blockquote>\n<p>\u0414\u0430, \u0443 \u043d\u0430\u0441 \u0435\u0441\u0442\u044c \u0440\u0435\u0448\u0435\u043d\u0438\u0435, \u0432 \u043a\u0430\u043a\u043e\u0439-\u0442\u043e \u043c\u0435\u0440\u0435 \u043f\u0440\u043e\u0441\u0442\u043e\u0435 \u0438 \u043e\u0447\u0435\u0432\u0438\u0434\u043d\u043e\u0435.<\/p>\n<\/blockquote>\n<p>\u041d\u043e\u00a0\u043a \u0441\u043e\u0436\u0430\u043b\u0435\u043d\u0438\u044e \u0442\u0440\u0435\u0431\u0443\u044e\u0449\u0435\u0435 \u0441\u043b\u043e\u043c\u0430\u0442\u044c \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u0441\u0438\u0445\u043e\u043b\u043e\u0433\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0438 \u0438 \u0437\u0430\u0434\u0443\u0448\u0438\u0442\u044c \u00ab\u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0435\u0433\u043e \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u0438\u043a\u0430\u00bb, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043d\u0435\u043c\u0435\u0434\u043b\u0435\u043d\u043d\u043e \u043e\u0431\u0440\u0430\u0437\u0443\u0435\u0442\u0441\u044f \u0443 \u0432\u0430\u0441 \u0437\u0430\u00a0\u0441\u043f\u0438\u043d\u043e\u0439 \u0438 \u0431\u0443\u0434\u0435\u0442 \u0433\u0440\u043e\u043c\u043a\u043e \u0432\u043e\u0437\u043c\u0443\u0449\u0430\u0442\u044c\u0441\u044f \u0447\u0442\u043e\u00a0\u0442\u0430\u043a \u0434\u0435\u043b\u0430\u0442\u044c \u043d\u0435\u043b\u044c\u0437\u044f.<\/p>\n<p>\u041d\u0430\u0447\u043d\u0435\u043c \u0441 \u043c\u0430\u0442\u0447\u0430\u0441\u0442\u0438.<\/p>\n<h4>\u041c\u0430\u0442\u0447\u0430\u0441\u0442\u044c<\/h4>\n<p>\u041a\u0430\u043a \u0431\u044b \u044d\u0442\u043e \u0443\u0434\u0438\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043d\u0435 \u0437\u0432\u0443\u0447\u0430\u043b\u043e, \u043d\u043e \u0432\u0441\u0435 \u043d\u0430\u0432\u043e\u0440\u043e\u0447\u0435\u043d\u043d\u044b\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438 \u0441\u0432\u043e\u0434\u044f\u0442\u0441\u044f \u043a \u043e\u0434\u043d\u043e\u0439 \u043f\u0440\u043e\u0441\u0442\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u0433\u0434\u0435-\u0442\u043e \u0433\u043b\u0443\u0431\u043e\u043a\u043e \u0432\u043d\u0443\u0442\u0440\u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u0432\u0440\u043e\u0434\u0435 \u0442\u0430\u043a\u043e\u0439:<\/p>\n<pre><code class=\"java\">boolean matches(CharSequence rawPassword, String encodedPassword)<\/code><\/pre>\n<p>\u0412\u043e\u0442 \u0432\u044b\u0434\u0435\u0440\u0436\u043a\u0430 \u0438\u0437 <a href=\"https:\/\/docs.spring.io\/spring-security\/reference\/features\/authentication\/password-storage.html#authentication-password-storage\" rel=\"noopener noreferrer nofollow\">\u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430\u0446\u0438\u0438<\/a> Spring Security, \u043e\u0442\u043a\u0443\u0434\u0430 \u044f \u0435\u0435 \u0432\u0437\u044f\u043b:<\/p>\n<blockquote>\n<p>Verify the encoded password obtained from storage matches the submitted raw password after it too is encoded. Returns true if the passwords match, false if they do not. The stored password itself is never decoded.<\/p>\n<\/blockquote>\n<p>\u0418 \u043d\u0430\u043a\u043e\u043d\u0435\u0446 \u0441\u0430\u043c\u043e\u0435 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e\u0435:<\/p>\n<blockquote>\n<p>Returns: true if the raw password, after encoding, matches the encoded password from storage<\/p>\n<\/blockquote>\n<p>\u041a\u0430\u043a \u0432\u0438\u0434\u0438\u0442\u0435 \u0432\u0441\u0435 \u043d\u0430\u0432\u043e\u0440\u043e\u0447\u0435\u043d\u043d\u044b\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438 \u0441\u0432\u043e\u0434\u044f\u0442\u0441\u044f \u0432 \u0438\u0442\u043e\u0433\u0435 \u043a\u00a0\u0432\u043e\u0442 \u043f\u0440\u043e\u0441\u0442\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u0432\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u044e\u0449\u0435\u0439 <em>true<\/em> \u0438\u043b\u0438 <em>false<\/em>.<\/p>\n<p>\u041d\u0435\u0442, Spring Framework \u0442\u0430\u043a\u043e\u0439 \u043d\u0435 \u043e\u0434\u0438\u043d, \u0432\u043e\u0442 \u0434\u043b\u044f \u043f\u0440\u0438\u043c\u0435\u0440\u0430 <a href=\"https:\/\/docs.djangoproject.com\/en\/5.0\/topics\/auth\/passwords\/#django.contrib.auth.hashers.check_password\" rel=\"noopener noreferrer nofollow\">\u0430\u043d\u0430\u043b\u043e\u0433<\/a> \u0434\u0430\u043d\u043d\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u0434\u043b\u044f Python \u0438 Django:<\/p>\n<blockquote>\n<p>If you\u2019d like to manually authenticate a user by comparing a plain-text password to the hashed password in the database, use the convenience function <code>check_password()<\/code>. It takes two mandatory arguments: the plain-text password to check, and the full value of a user\u2019s <code>password<\/code> field in the database to check against. It returns <code>True<\/code> if they match, <code>False<\/code> otherwise<\/p>\n<\/blockquote>\n<p>\u0410 <a href=\"https:\/\/learn.microsoft.com\/en-us\/aspnet\/web-api\/overview\/security\/basic-authentication\" rel=\"noopener noreferrer nofollow\">\u0432\u043e\u0442<\/a> \u0434\u043b\u044f ASP.NET:<\/p>\n<pre><code class=\"cs\">\/\/ TODO: Here is where you would validate the username and password.  private static bool CheckPassword(string username, string password) {     return username == \"user\" &amp;&amp; password == \"password\"; }<\/code><\/pre>\n<p><a href=\"https:\/\/api.rubyonrails.org\/classes\/ActiveModel\/SecurePassword\/ClassMethods.html\" rel=\"noopener noreferrer nofollow\">\u0412\u043e\u0442<\/a> \u0434\u043b\u044f Ruby \u0438 Rails:<\/p>\n<pre><code class=\"ruby\">has_secure_password(attribute = :password, validations: true)<\/code><\/pre>\n<blockquote>\n<p>Adds methods to set and authenticate against a BCrypt password. This mechanism requires you to have a <code>XXX_digest<\/code> attribute, where <code>XXX<\/code> is the attribute name of your desired password.<\/p>\n<\/blockquote>\n<p>\u041f\u043e\u043b\u0443\u0447\u0430\u0435\u0442\u0441\u044f \u0447\u0442\u043e \u0434\u043b\u044f\u00a0\u0432\u0441\u0435\u0445 \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u044b\u0445 \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a\u043e\u0432, \u044f\u0437\u044b\u043a\u043e\u0432 \u0438 \u0440\u0435\u0448\u0435\u043d\u0438\u0439 \u0442\u0430\u043a\u043e\u0439 \u043f\u043e\u0434\u0445\u043e\u0434 \u0441\u0435\u0439\u0447\u0430\u0441 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u043c, \u0430\u00a0\u0437\u043d\u0430\u0447\u0438\u0442 \u0432\u0435\u0437\u0434\u0435 \u0438 \u0432\u0441\u0435\u0433\u0434\u0430 \u0435\u0441\u0442\u044c \u043a\u0430\u043a\u0430\u044f-\u0442\u043e \u043e\u0434\u043d\u0430 \u0442\u043e\u0447\u043a\u0430 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438\u00a0\u2014 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u044b\u0439 \u043c\u0435\u0442\u043e\u0434, \u0434\u0430\u044e\u0449\u0438\u0439 \u0437\u0435\u043b\u0435\u043d\u044b\u0439 \u0441\u0432\u0435\u0442.<\/p>\n<p>\u041a\u0430\u043a \u0432\u044b\u00a0\u043d\u0430\u0432\u0435\u0440\u043d\u043e\u0435 \u0443\u0436\u0435 \u0434\u043e\u0433\u0430\u0434\u044b\u0432\u0430\u0435\u0442\u0435\u0441\u044c, \u0434\u043b\u044f \u043e\u0442\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438 \u043d\u0443\u0436\u043d\u043e \u0432\u0441\u0435\u0433\u043e \u043b\u0438\u0448\u044c \u0432\u00a0\u0442\u0430\u043a\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u0432\u0435\u0440\u043d\u0443\u0442\u044c <strong>true<\/strong>. <\/p>\n<p>\u0414\u043b\u044f \u043e\u0431\u044b\u0447\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u0435\u043a\u0442\u0430 \u043d\u0430 Spring Boot \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0432\u043e\u0442 \u0442\u0430\u043a\u043e\u0433\u043e \u043a\u043e\u0434\u0430:<\/p>\n<pre><code class=\"java\">@Bean public PasswordEncoder passwordEncoder() {    return new BCryptPasswordEncoder() {        @Override        public boolean matches(CharSequence rawPassword,                                String encodedPassword) {                     \/\/ \"\u0421\u043a\u0440\u0438\u043f\u0430\u0447 \u043d\u0435 \u043d\u0443\u0436\u0435\u043d\" (\u0446)                          return true;                     }        }; }<\/code><\/pre>\n<p>\u0414\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u0442\u0435 \u0432\u00a0\u0432\u0430\u0448 \u043b\u044e\u0431\u0438\u043c\u044b\u0439 \u043a\u043b\u0430\u0441\u0441 \u00ab<a href=\"https:\/\/spring.io\/guides\/gs\/securing-web\/\" rel=\"noopener noreferrer nofollow\">SecurityConfiguration<\/a>\u00bb, \u043f\u0435\u0440\u0435\u0441\u043e\u0431\u0438\u0440\u0430\u0435\u0442\u0435 \u0438\u00a0\u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0435\u00a0\u2014 \u0432\u0443\u0430\u043b\u044f: <\/p>\n<blockquote>\n<p>\u0442\u0435\u043f\u0435\u0440\u044c \u043a\u0430\u0436\u0434\u044b\u0439 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u0441\u043c\u043e\u0436\u0435\u0442 \u0432\u043e\u0439\u0442\u0438 \u043f\u043e\u0434 \u043b\u044e\u0431\u044b\u043c \u043f\u0430\u0440\u043e\u043b\u0435\u043c!<\/p>\n<\/blockquote>\n<p>\u0420\u0430\u0437\u0443\u043c\u0435\u0435\u0442\u0441\u044f \u043d\u0435 \u0441\u0442\u043e\u0438\u0442 \u0442\u0430\u043a\u043e\u0435 \u0434\u0435\u043b\u0430\u0442\u044c \u043d\u0430 \u0431\u043e\u0435\u0432\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u0435, \u0435\u0441\u043b\u0438 \u043d\u0435 \u0445\u043e\u0442\u0438\u0442\u0435 \u043f\u043e\u0442\u0435\u0440\u044f\u0442\u044c \u0440\u0430\u0431\u043e\u0442\u0443.<\/p>\n<p>\u041d\u043e\u00a0\u0434\u0430\u043d\u043d\u044b\u0439 \u043c\u0435\u0442\u043e\u0434 \u043d\u0430\u00a0\u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 <strong>\u043d\u0435\u0443\u0434\u043e\u0431\u0435\u043d<\/strong>\u00a0\u2014 \u0432\u0430\u043c \u043d\u0430\u0434\u043e \u0434\u0435\u043b\u0430\u0442\u044c \u0432\u0441\u0442\u0430\u0432\u043a\u0443 \u0432\u00a0\u043a\u043e\u0434, \u043f\u0435\u0440\u0435\u0441\u043e\u0431\u0438\u0440\u0430\u0442\u044c \u043f\u0440\u043e\u0435\u043a\u0442 \u0438 \u0437\u0430\u0442\u0435\u043c \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u0442\u044c. \u042d\u0442\u043e \u0432\u0441\u0435 \u043f\u043e\u043c\u0438\u043c\u043e \u043d\u0435\u0438\u043b\u043b\u044e\u0437\u043e\u0440\u043d\u044b\u0445 \u0440\u0438\u0441\u043a\u043e\u0432 \u043f\u043e\u043f\u0430\u0434\u0430\u043d\u0438\u044f \u0442\u0430\u043a\u043e\u0433\u043e \u0440\u0435\u0448\u0435\u043d\u0438\u044f \u0432\u00a0\u043f\u0440\u043e\u0434\u0430\u043a\u0448\u043d, \u0441\u043e \u0432\u0441\u0435\u043c\u0438 \u0432\u044b\u0442\u0435\u043a\u0430\u044e\u0449\u0438\u043c\u0438 \u0434\u043b\u044f \u0432\u0430\u0441 \u043f\u043e\u0441\u043b\u0435\u0434\u0441\u0442\u0432\u0438\u044f\u043c\u0438.<\/p>\n<p>\u0415\u0441\u0442\u044c \u0431\u043e\u043b\u0435\u0435 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0435.<\/p>\n<h3>\u041f\u0440\u043e\u0435\u043a\u0442 \u00abButterfly\u00bb<\/h3>\n<p>\u0427\u0442\u043e \u0432\u044b\u00a0\u0437\u043d\u0430\u0435\u0442\u0435 \u043e\u00a0<s>\u0422\u0430\u0439\u043b\u0435\u0440\u0435 \u0414\u0435\u0440\u0434\u0435\u043d\u0435<\/s> \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0438 <a href=\"https:\/\/docs.oracle.com\/en\/java\/javase\/11\/docs\/api\/java.instrument\/java\/lang\/instrument\/Instrumentation.html\" rel=\"noopener noreferrer nofollow\">Java Agent<\/a>? <\/p>\n<p>\u0421\u043a\u043e\u0440\u0435\u0435 \u0432\u0441\u0435\u0433\u043e \u043d\u0438\u0447\u0435\u0433\u043e, \u043f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e \u044d\u0442\u043e \u043e\u0447\u0435\u043d\u044c \u0441\u043f\u0435\u0446\u0438\u0444\u0438\u0447\u043d\u0430\u044f \u0432\u0435\u0449\u044c, \u0440\u0435\u0434\u043a\u043e \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u0435\u043c\u0430\u044f \u0432\u00a0\u043e\u0431\u044b\u0447\u043d\u043e\u0439 \u043f\u043e\u0432\u0441\u0435\u0434\u043d\u0435\u0432\u043d\u043e\u0439 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0435:<\/p>\n<blockquote>\n<p>This class provides services needed to\u00a0instrument Java programming language code. Instrumentation is\u00a0the addition of\u00a0byte-codes to\u00a0methods for the purpose of\u00a0gathering data to\u00a0be\u00a0utilized by\u00a0tools. Since the changes are purely additive, these tools do\u00a0not modify application state or\u00a0behavior. Examples of\u00a0such benign tools include monitoring agents, profilers, coverage analyzers, and event loggers.<\/p>\n<\/blockquote>\n<p>\u041e\u0434\u043d\u0438\u043c \u0438\u0437\u00a0\u0432\u0430\u0440\u0438\u0430\u043d\u0442\u043e\u0432 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u044d\u0442\u043e\u0439 \u0437\u0430\u043c\u0435\u0447\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0438 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043f\u043e\u0434\u043c\u0435\u043d\u0430 <em>Java-\u043a\u043b\u0430\u0441\u0441\u043e\u0432 \u043d\u0430\u00a0\u043b\u0435\u0442\u0443 \u043d\u0430\u00a0\u0443\u0440\u043e\u0432\u043d\u0435 \u0431\u0430\u0439\u0442\u043a\u043e\u0434\u0430<\/em>, \u0430\u00a0\u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e\u0441\u0442\u044c\u044e \u0440\u0430\u0431\u043e\u0442\u044b\u00a0\u2014 \u0447\u0442\u043e \u0447\u0435\u0440\u0435\u0437 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a \u0442\u0430\u043a\u043e\u0433\u043e \u0430\u0433\u0435\u043d\u0442\u0430 \u043f\u0440\u043e\u0445\u043e\u0434\u044f\u0442 <em>\u0432\u0441\u0435<\/em> \u043f\u0440\u0438\u043a\u043b\u0430\u0434\u043d\u044b\u0435 \u043a\u043b\u0430\u0441\u0441\u044b, \u043d\u0435\u0432\u0437\u0438\u0440\u0430\u044f \u043d\u0430\u00a0\u0438\u0435\u0440\u0430\u0440\u0445\u0438\u044e ClassLoader-\u043e\u0432 \u043c \u0432\u043a\u043b\u044e\u0447\u0430\u044f \u0438\u0437\u043e\u043b\u044f\u0446\u0438\u044e WAR\/EAR \u0432\u00a0\u0441\u0435\u0440\u0432\u0435\u0440\u0430\u0445 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439.<\/p>\n<p>\u0427\u0442\u043e \u0434\u043b\u044f \u043d\u0430\u0448\u0435\u0439 \u0437\u0430\u0434\u0430\u0447\u0438 \u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442 \u0441\u043b\u0435\u0434\u0443\u0449\u0435\u0435: <\/p>\n<blockquote>\n<p>\u043c\u044b \u043d\u0435 \u0431\u0443\u0434\u0435\u043c \u0442\u0440\u043e\u0433\u0430\u0442\u044c \u043a\u043e\u0434 \u0441\u0430\u043c\u043e\u0433\u043e \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u043e\u0442\u0432\u0435\u0447\u0430\u044e\u0449\u0435\u0433\u043e \u0437\u0430 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0443 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438, \u043c\u044b \u0435\u0433\u043e \u043f\u0440\u043e\u0441\u0442\u043e <strong><em>\u043f\u043e\u0434\u043c\u0435\u043d\u0438\u043c<\/em><\/strong> \u043d\u0430 \u043b\u0435\u0442\u0443.<\/p>\n<\/blockquote>\n<p>\u041d\u043e\u00a0\u043f\u0440\u0435\u0436\u0434\u0435 \u0441\u0442\u043e\u0438\u0442 \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u0430\u0442\u044c \u043f\u0440\u043e \u0435\u0449\u0435 \u043e\u0434\u043d\u0443 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u044e, \u0435\u0449\u0435 \u043c\u0435\u043d\u0435\u0435 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u0443\u044e.<\/p>\n<p>\u0414\u0435\u043b\u043e \u0432\u00a0\u0442\u043e\u043c, \u0447\u0442\u043e\u00a0\u043d\u0430\u00a0\u0432\u0445\u043e\u0434 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0443 Java Agent \u043f\u0440\u0438\u0445\u043e\u0434\u0438\u0442 \u043e\u0434\u0438\u043d\u00a0\u043b\u0438\u0448\u044c \u043c\u0430\u0441\u0441\u0438\u0432 \u0431\u0430\u0439\u0442, \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0439 \u0431\u0430\u0439\u0442\u043a\u043e\u0434 \u043a\u043b\u0430\u0441\u0441\u0430. \u0414\u043b\u044f\u00a0\u0442\u043e\u0433\u043e \u0447\u0442\u043e\u0431\u044b \u0438\u0437\u043c\u0435\u043d\u0438\u0442\u044c \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u0443\u044e \u043b\u043e\u0433\u0438\u043a\u0443 \u0432\u043d\u0443\u0442\u0440\u0438 \u043a\u043b\u0430\u0441\u0441\u0430, \u0435\u0433\u043e \u043f\u0440\u0438\u0434\u0435\u0442\u0441\u044f \u0441\u043d\u0430\u0447\u0430\u043b\u0430 \u0440\u0430\u0437\u043e\u0431\u0440\u0430\u0442\u044c, \u0438\u0437\u043c\u0435\u043d\u0438\u0442\u044c \u043a\u043e\u0434 \u0432\u043d\u0443\u0442\u0440\u0438 (!) \u0438 \u043f\u043e\u0442\u043e\u043c \u0441\u043e\u0431\u0440\u0430\u0442\u044c \u043e\u0431\u0440\u0430\u0442\u043d\u043e \u0432\u00a0\u043c\u0430\u0441\u0441\u0438\u0432 \u0431\u0430\u0439\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0443\u0436\u0435 \u0443\u0439\u0434\u0435\u0442 \u043d\u0430\u00a0\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u0432\u00a0\u0432\u0438\u0440\u0442\u0443\u0430\u043b\u044c\u043d\u0443\u044e \u043c\u0430\u0448\u0438\u043d\u0443.<\/p>\n<blockquote>\n<p>\u0414\u043b\u044f \u0437\u0430\u0434\u0430\u0447 \u0442\u0430\u043a\u043e\u0433\u043e \u0440\u0430\u0441\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0441 \u043f\u0440\u0430\u0432\u043a\u0430\u043c\u0438 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0442 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0435 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438, \u0441\u0430\u043c\u044b\u0435 \u043c\u043e\u0449\u043d\u044b\u0435 \u0438\u0437 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u044d\u0442\u043e <a href=\"https:\/\/bytebuddy.net\/#\/\" rel=\"noopener noreferrer nofollow\">Byte Buddy<\/a> \u0438 <a href=\"https:\/\/www.javassist.org\/\" rel=\"noopener noreferrer nofollow\">Javassist<\/a>. <\/p>\n<\/blockquote>\n<p>\u0412\u00a0\u0440\u0430\u043c\u043a\u0430\u0445 \u0434\u0430\u043d\u043d\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0438 \u043d\u0435\u00a0\u043f\u043e\u043b\u0443\u0447\u0438\u0442\u0441\u044f \u0440\u0430\u0441\u043a\u0440\u044b\u0442\u044c \u044d\u0442\u0443 \u0442\u0435\u043c\u0443 \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e, \u043e\u0442\u043c\u0435\u0447\u0443\u00a0\u043b\u0438\u0448\u044c \u0447\u0442\u043e\u00a0Byte Buddy \u0431\u043e\u043b\u0435\u0435 \u043d\u043e\u0432\u0430\u044f, \u0430\u00a0Javassist\u00a0\u2014 \u0431\u043e\u043b\u0435\u0435 \u0441\u0442\u0430\u0440\u0430\u044f. <\/p>\n<p>\u0412\u00a0\u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435 \u043c\u044b \u0431\u0443\u0434\u0435\u043c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c Javassist <s>\u0440\u0430\u0434\u0438 \u0443\u0432\u0430\u0436\u0435\u043d\u0438\u044f \u043a\u00a0\u0434\u0443\u0445\u0443 \u043f\u0440\u0435\u0434\u043a\u043e\u0432<\/s> \u043f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e\u00a0\u043a\u043e\u0434 \u043d\u0430\u00a0\u043d\u0435\u043c \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442\u0441\u044f \u0447\u0443\u0442\u044c \u043c\u0435\u043d\u044c\u0448\u0435.<\/p>\n<h3>\u041a\u043e\u0434<\/h3>\n<p>\u0412\u0435\u0441\u044c \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u043e\u0434 \u043f\u0440\u043e\u0435\u043a\u0442\u0430 \u0432\u044b\u043b\u043e\u0436\u0435\u043d \u043d\u0430 <a href=\"https:\/\/github.com\/alex0x08\/butterfly\/tree\/main\" rel=\"noopener noreferrer nofollow\">Github<\/a>, \u0434\u043b\u044f \u0441\u0431\u043e\u0440\u043a\u0438 \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u043e\u0431\u044b\u0447\u043d\u043e\u0433\u043e Apache Maven:<\/p>\n<pre><code class=\"bash\">mvn clean package<\/code><\/pre>\n<p>\u041f\u043e\u0441\u043b\u0435 \u0447\u0435\u0433\u043e \u0432 \u043f\u0430\u043f\u043a\u0435 target \u043f\u043e\u044f\u0432\u0438\u0442\u0441\u044f butterfly.jar &#8212; \u043d\u0430\u0448 \u0430\u0433\u0435\u043d\u0442 <s>\u0437\u043b\u0430<\/s>, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0443\u043a\u0430\u0437\u0430\u0442\u044c \u043f\u0440\u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0435 \u0432\u0430\u0448\u0435\u0433\u043e \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f:<\/p>\n<pre><code class=\"bash\">java -javaagent:&lt;\/full\/path\/to\/butterfly.jar> -jar your-spring-boot-app.jar<\/code><\/pre>\n<p>\u041f\u0440\u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0435, \u0432 \u0441\u043b\u0443\u0447\u0430\u0435 \u0443\u0441\u043f\u0435\u0448\u043d\u043e\u0439 \u043f\u043e\u0434\u043c\u0435\u043d\u044b \u043b\u043e\u0433\u0438\u043a\u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u043f\u0430\u0440\u043e\u043b\u0435\u0439 \u043f\u043e\u044f\u0432\u0438\u0442\u0441\u044f \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0435:<\/p>\n<pre><code>altered method: matches<\/code><\/pre>\n<p>\u0418\u00a0\u0432\u0441\u0435, \u0434\u0430\u043b\u044c\u0448\u0435 \u043c\u043e\u0436\u043d\u043e \u0431\u0443\u0434\u0435\u0442 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u0441\u00a0\u043b\u044e\u0431\u044b\u043c \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u044b\u043c \u043d\u0430\u0431\u043e\u0440\u043e\u043c \u0441\u0438\u043c\u0432\u043e\u043b\u043e\u0432 \u0432\u043c\u0435\u0441\u0442\u043e \u043f\u0430\u0440\u043e\u043b\u044f. <\/p>\n<p>\u041f\u0440\u0438 \u0432\u044b\u0437\u043e\u0432\u0435 \u043f\u043e\u0434\u043c\u0435\u043d\u0435\u043d\u043d\u043e\u0433\u043e \u043c\u0435\u0442\u043e\u0434\u0430 \u0431\u0443\u0434\u0435\u0442 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0435:<\/p>\n<pre><code>Bypassing password check..<\/code><\/pre>\n<p>\u0422\u0430\u043a \u0447\u0442\u043e \u0441\u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u043f\u043e\u0434\u043c\u0435\u043d\u0430 \u0438\u043b\u0438 \u043d\u0435\u0442 \u0431\u0443\u0434\u0435\u0442 \u0432\u0438\u0434\u043d\u043e \u0441\u0440\u0430\u0437\u0443. <\/p>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c \u0440\u0430\u0437\u0431\u0435\u0440\u0435\u043c \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u043e\u0434:<\/p>\n<pre><code class=\"java\">package com.Ox08.butterfly;  import javassist.ClassPool; import javassist.CtClass; import javassist.CtMethod; import javassist.runtime.Desc; import javassist.scopedpool.ScopedClassPoolFactoryImpl; import javassist.scopedpool.ScopedClassPoolRepositoryImpl; import java.io.ByteArrayInputStream; import java.lang.instrument.ClassFileTransformer; import java.lang.instrument.Instrumentation; import java.security.ProtectionDomain; \/**  * This class allows to bypass password validation for Spring Security-based apps and  * for Atlassian Jira  *  * @author Alex Chernyshev &lt;alex3.145@gmail.com>  * @since 1.0  *  *\/ public class BypassPasswordChecks {     public static void premain(String agentArgs, Instrumentation instrumentation) {         System.out.println(\"Starting butterfly..\");         \/\/Sets the useContextClassLoader =true to get any class type to be correctly resolved with correct OSGI module         Desc.useContextClassLoader = true;         instrumentation.addTransformer(new InterceptingClassTransformer());     }     static class InterceptingClassTransformer implements ClassFileTransformer {         private static final String BYPASS_PAYLOAD = \"if (true) { System.out.println(\\\"Bypassing password check..\\\"); return true; }\";         private final ScopedClassPoolFactoryImpl scopedClassPoolFactory = new ScopedClassPoolFactoryImpl();         private final ClassPool rootPool = ClassPool.getDefault();         @Override         public byte[] transform(ClassLoader loader, String className, Class&lt;?> classBeingRedefined,                                 ProtectionDomain protectionDomain, byte[] classfileBuffer) {             final boolean foundSpring = checkIfSpringSecurityPasswordEncoder(className),                     foundAtlassian = checkIfAtlassianSecurityPasswordEncoder(className);             if (!foundSpring &amp;&amp; !foundAtlassian) {                 return classfileBuffer;             }             System.out.printf(\"processing class %s%n\", className);             try {                 final CtClass ctClass = scopedClassPoolFactory.create(loader, rootPool,                                 ScopedClassPoolRepositoryImpl.getInstance())                         .makeClass(new ByteArrayInputStream(classfileBuffer));                 \/\/ \u043f\u0440\u043e\u043f\u0443\u0441\u043a\u0430\u0435\u043c \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u044b \u0438 \u0432\u0441\u044f\u043a\u0443\u044e \u0445\u0435\u0440\u044c                 if (ctClass.isInterface() || ctClass.isAnnotation()                         || ctClass.isPrimitive() || ctClass.isArray() || ctClass.isEnum()) {                     return classfileBuffer;                 }                 for (CtMethod method : ctClass.getDeclaredMethods()) {                     if ((foundAtlassian &amp;&amp; method.getName().equals(\"isValidPassword\"))                             || (foundSpring &amp;&amp; method.getName().equals(\"matches\"))) {                         method.insertBefore(BYPASS_PAYLOAD);                         System.out.printf(\"altered method: %s%n\", method.getName());                         break;                     }                 }                 final byte[] byteCode = ctClass.toBytecode();                 ctClass.detach();                 return byteCode;             } catch (Throwable ex) {                 System.err.printf(\"Error transforming class: %s%n\", ex.getMessage());                 return classfileBuffer;             }         }         private boolean checkIfSpringSecurityPasswordEncoder(String className) {             return className.contains(\"org\/springframework\/security\/\") &amp;&amp; className.endsWith(\"Encoder\");         }         private boolean checkIfAtlassianSecurityPasswordEncoder(String className) {             \/*             @see com.atlassian.security.password.DefaultPasswordEncoder              *\/             return className.contains(\"com\/atlassian\/security\/\") &amp;&amp; className.endsWith(\"Encoder\");         }     } }<\/code><\/pre>\n<p>\u041d\u0430\u0447\u043d\u0435\u043c \u0441 \u043d\u0435\u043e\u0431\u044b\u0447\u043d\u043e\u0433\u043e \u0432\u0445\u043e\u0434\u043d\u043e\u0433\u043e \u043c\u0435\u0442\u043e\u0434\u0430:<\/p>\n<pre><code class=\"java\">public static void premain(String agentArgs, Instrumentation instrumentation) {         System.out.println(\"Starting butterfly..\");         \/\/Sets the useContextClassLoader =true to get any class type to be correctly resolved with correct OSGI module         Desc.useContextClassLoader = true;         instrumentation.addTransformer(new InterceptingClassTransformer());     }<\/code><\/pre>\n<p>\u041d\u0430\u043f\u043e\u043c\u043d\u044e, \u0447\u0442\u043e \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u0430\u044f \u0442\u043e\u0447\u043a\u0430 \u0432\u0445\u043e\u0434\u0430 \u0434\u043b\u044f \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u043d\u0430\u00a0Java \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u0432\u043e\u0442 \u0442\u0430\u043a: <\/p>\n<pre><code class=\"java\">public static void main(String[] arg) {    .. }<\/code><\/pre>\n<p>\u0421 \u0432\u044b\u0437\u043e\u0432\u0430 \u044d\u0442\u043e\u0433\u043e \u043c\u0435\u0442\u043e\u0434\u0430 \u043d\u0430\u0447\u0438\u043d\u0430\u0435\u0442\u0441\u044f \u0440\u0430\u0431\u043e\u0442\u0430 \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u043e\u0433\u043e Java-\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f. \u041d\u043e \u0442\u043e\u043b\u044c\u043a\u043e\u00a0\u00abJava Agent\u00bb \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0441\u044f \u0438\u043d\u0430\u0447\u0435.<\/p>\n<p>\u0421\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u0432\u0430\u0436\u043d\u044b\u043c \u043c\u043e\u043c\u0435\u043d\u0442\u043e\u043c \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043d\u0430\u043b\u0438\u0447\u0438\u0435 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438 <strong>Premain-Class<\/strong> \u0432 \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u0435 JAR-\u0444\u0430\u0439\u043b\u0430 (MANIFEST.MF):<\/p>\n<pre><code>Manifest-Version: 1.0 Created-By: Maven Archiver 3.6.0 Build-Jdk-Spec: 21 Premain-Class: com.Ox08.butterfly.BypassPasswordChecks<\/code><\/pre>\n<p>\u0411\u0435\u0437 \u044d\u0442\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438, JAR-\u0444\u0430\u0439\u043b \u0441 \u0430\u0433\u0435\u043d\u0442\u043e\u043c \u043d\u0435 \u0431\u0443\u0434\u0435\u0442 \u0440\u0430\u0441\u043f\u043e\u0437\u043d\u0430\u043d \u0438 \u0430\u043a\u0442\u0438\u0432\u0438\u0440\u043e\u0432\u0430\u043d.<\/p>\n<p>\u0414\u043b\u044f \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438 \u044d\u0442\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438 \u043f\u0440\u0438 \u0444\u043e\u0440\u043c\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0438 \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u0430 \u0432 \u0444\u0430\u0439\u043b\u0435 \u0441\u0431\u043e\u0440\u043a\u0438 <strong>pom.xml<\/strong> \u0435\u0441\u0442\u044c \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u0430\u044f \u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u044f:<\/p>\n<pre><code class=\"xml\">&lt;archive>     &lt;manifestEntries>        &lt;Premain-Class>com.Ox08.butterfly.BypassPasswordChecks&lt;\/Premain-Class>     &lt;\/manifestEntries> &lt;\/archive><\/code><\/pre>\n<p>\u041d\u043e \u0432\u0435\u0440\u043d\u0435\u043c\u0441\u044f \u043a \u043a\u043e\u0434\u0443, \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0430\u044f \u0432\u0430\u0436\u043d\u0430\u044f \u0441\u0442\u0440\u043e\u0447\u043a\u0430:<\/p>\n<pre><code class=\"java\"> Desc.useContextClassLoader = true;<\/code><\/pre>\n<p>\u0412\u043e\u0442 \u0447\u0442\u043e \u043e\u043d\u0430 <a href=\"https:\/\/www.javassist.org\/html\/javassist\/runtime\/Desc.html#useContextClassLoader\" rel=\"noopener noreferrer nofollow\">\u0434\u0435\u043b\u0430\u0435\u0442<\/a>:<\/p>\n<blockquote>\n<p>Specifies how a <code>java.lang.Class<\/code> object is loaded.<\/p>\n<\/blockquote>\n<p>\u041f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u043d\u0430 \u0442\u043e \u043a\u0430\u043a \u0438\u043c\u0435\u043d\u043d\u043e \u0434\u043e\u043b\u0436\u043d\u044b \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0442\u044c\u0441\u044f \u043a\u043b\u0430\u0441\u0441\u044b.<\/p>\n<p>\u0415\u0441\u043b\u0438 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 true, \u0442\u043e \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u0438\u0437 <code>ContextClassloader<\/code> \u0442\u0435\u043a\u0443\u0449\u0435\u0433\u043e \u0442\u0440\u0435\u0434\u0430:<\/p>\n<pre><code class=\"java\">Thread.currentThread().getContextClassLoader().loadClass()<\/code><\/pre>\n<p>\u0410\u00a0\u0435\u0441\u043b\u0438 \u043d\u0435\u0442\u00a0\u2014 \u0431\u043e\u043b\u0435\u0435 \u043e\u0431\u044b\u0447\u043d\u044b\u043c <code>Class.forName()<\/code>. <\/p>\n<p>\u0418\u0437\u2011\u0437\u0430 \u0442\u043e\u0433\u043e \u0447\u0442\u043e\u00a0\u0432\u0441\u0435 \u0441\u0435\u0440\u0432\u043b\u0435\u0442\u2011\u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u044b (\u0438 \u0441\u0430\u043c Spring Boot) \u0438\u0437\u043e\u043b\u0438\u0440\u0443\u044e\u0442 \u043a\u043b\u0430\u0441\u0441\u044b \u0432\u0435\u0431\u2011\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439 \u0447\u0435\u0440\u0435\u0437 \u0438\u0435\u0440\u0430\u0440\u0445\u0438\u044e ClassLoader\u2011\u043e\u0432, \u0434\u043e\u0431\u0440\u0430\u0442\u044c\u0441\u044f \u0434\u043e\u00a0\u043d\u0438\u0445 \u0431\u0435\u0437\u00a0\u0443\u0447\u0435\u0442\u0430 \u0442\u0430\u043a\u043e\u0439 \u0438\u0435\u0440\u0430\u0440\u0445\u0438\u0438 \u043d\u0435\u00a0\u0432\u0441\u0435\u0433\u0434\u0430 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e. <\/p>\n<blockquote>\n<p>\u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u0434\u043b\u044f \u043b\u044e\u0431\u043e\u0433\u043e \u0431\u043e\u043b\u0435\u0435-\u043c\u0435\u043d\u0435\u0435 \u0440\u0435\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0432\u044b\u0437\u043e\u0432 <strong>Desc.useContextClassLoader = true<\/strong> \u0434\u043e\u043b\u0436\u0435\u043d \u0431\u044b\u0442\u044c \u043e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u043e.<\/p>\n<\/blockquote>\n<p>\u0421\u043b\u0435\u0434\u0443\u0449\u0430\u044f \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u0430\u044f \u0441\u0442\u0440\u043e\u0447\u043a\u0430 \u044d\u0442\u043e \u043d\u0435\u043f\u043e\u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u0430\u043a\u0442\u0438\u0432\u0430\u0446\u0438\u044f \u043d\u0430\u0448\u0435\u0433\u043e \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0430:<\/p>\n<pre><code class=\"java\">instrumentation.addTransformer(new InterceptingClassTransformer());  <\/code><\/pre>\n<p>\u0411\u0435\u0437 \u043d\u0435\u0435 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0430 \u043a\u043b\u0430\u0441\u0441\u043e\u0432 \u0438 \u0432\u0441\u044f \u0437\u0430\u0442\u0435\u044f \u0441 \u043f\u043e\u0434\u043c\u0435\u043d\u043e\u0439 \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u043d\u0435 \u0431\u0443\u0434\u0435\u0442.<\/p>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c \u043f\u0435\u0440\u0435\u0445\u043e\u0434\u0438\u043c \u043a \u0441\u0430\u043c\u043e\u043c\u0443 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0443:<\/p>\n<pre><code class=\"java\">static class InterceptingClassTransformer                             implements ClassFileTransformer {    .. }<\/code><\/pre>\n<p>\u041a\u0430\u043a \u0432\u0438\u0434\u0438\u0442\u0435 \u044d\u0442\u043e \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u0439 \u043a\u043b\u0430\u0441\u0441, \u0438\u043c\u043f\u043b\u0435\u043c\u0435\u043d\u0442\u0438\u0440\u0443\u044e\u0449\u0438\u0439 \u043e\u0434\u0438\u043d \u0437\u0430\u043c\u0435\u0447\u0430\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 <a href=\"https:\/\/docs.oracle.com\/javase\/8\/docs\/api\/java\/lang\/instrument\/ClassFileTransformer.html\" rel=\"noopener noreferrer nofollow\">ClassFileTransformer<\/a>, \u0442\u0440\u0435\u0431\u0443\u044e\u0449\u0438\u0439 \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u0442\u044c \u0432\u043e\u0442 \u0442\u0430\u043a\u043e\u0439 \u043c\u0435\u0442\u043e\u0434:<\/p>\n<pre><code class=\"java\">@Override public byte[] transform(ClassLoader loader,                          String className,                          Class&lt;?> classBeingRedefined,                         ProtectionDomain protectionDomain,                          byte[] classfileBuffer) {        .. }      <\/code><\/pre>\n<p>\u0418\u043c\u0435\u043d\u043d\u043e \u044d\u0442\u043e\u0442 \u043c\u0435\u0442\u043e\u0434 \u0432\u044b\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0441\u043e \u0441\u0442\u043e\u0440\u043e\u043d\u044b JVM \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0430 \u0434\u043b\u044f \u043f\u0440\u043e\u0447\u0438\u0442\u0430\u043d\u043d\u044b\u0445 \u043d\u043e \u0435\u0449\u0435 \u043d\u0435 \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d\u043d\u044b\u0445 \u043a\u043b\u0430\u0441\u0441\u043e\u0432. <\/p>\n<p>\u0412\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u0435\u0442 \u043f\u0440\u0438 \u044d\u0442\u043e\u043c \u043e\u043d \u0442\u0430\u043a\u0436\u0435 \u043c\u0430\u0441\u0441\u0438\u0432 \u0431\u0430\u0439\u0442, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u0434\u043e\u043b\u0436\u0435\u043d \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0442\u044c\u0441\u044f \u0431\u0430\u0439\u0442\u043a\u043e\u0434 \u043a\u043b\u0430\u0441\u0441\u0430.<\/p>\n<blockquote>\n<p>\u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u0432\u0441\u044f \u0440\u0430\u0431\u043e\u0442\u0430 \u0441\u00a0\u043f\u043e\u0434\u043c\u0435\u043d\u043e\u0439 \u0431\u0443\u0434\u0435\u0442 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442\u044c \u043c\u0435\u0436\u0434\u0443 \u0432\u0445\u043e\u0434\u043d\u044b\u043c \u0438\u00a0\u0432\u044b\u0445\u043e\u0434\u043d\u044b\u043c \u043d\u0430\u0431\u043e\u0440\u043e\u043c \u0431\u0430\u0439\u0442\u00a0\u2014 \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043a\u0430\u043a <s>\u0443\u00a0\u0434\u0438\u0434\u043e\u0432<\/s> \u0432\u00a0\u0421\u0438, \u0442\u043e\u043b\u044c\u043a\u043e \u0431\u0435\u0437 \u0431\u0438\u0442\u043e\u0439 \u043f\u0430\u043c\u044f\u0442\u0438.<\/p>\n<\/blockquote>\n<p>\u041b\u044e\u0431\u0430\u044f \u043f\u0440\u0438\u043b\u0438\u0447\u043d\u0430\u044f \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0430 \u043d\u0430\u0447\u0438\u043d\u0430\u0435\u0442\u0441\u044f \u0441 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0443\u0441\u043b\u043e\u0432\u0438\u0439, \u0443 \u043d\u0430\u0441 \u043e\u043d\u0430 \u0442\u043e\u0436\u0435 \u0438\u043c\u0435\u0435\u0442\u0441\u044f:<\/p>\n<pre><code class=\"java\">final boolean foundSpring = checkIfSpringSecurityPasswordEncoder(className),               foundAtlassian = checkIfAtlassianSecurityPasswordEncoder(className); if (!foundSpring &amp;&amp; !foundAtlassian) {                 return classfileBuffer; }         <\/code><\/pre>\n<p>\u0421\u0430\u043c\u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0431\u0430\u043d\u0430\u043b\u044c\u043d\u044b \u0438 \u043b\u0435\u0433\u043a\u043e \u0447\u0438\u0442\u0430\u0435\u043c\u044b, \u0432\u043e\u0442 \u0432\u0435\u0440\u0441\u0438\u044f \u0434\u043b\u044f Spring Security:<\/p>\n<pre><code class=\"java\">private boolean checkIfSpringSecurityPasswordEncoder(String className) {     return className.contains(\"org\/springframework\/security\/\")                   &amp;&amp; className.endsWith(\"Encoder\"); }<\/code><\/pre>\n<p>\u041d\u0430\u043c \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0432\u044b\u0447\u043b\u0435\u043d\u0438\u0442\u044c \u043a\u043b\u0430\u0441\u0441\u044b \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u044e\u0449\u0438\u0435 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 <a href=\"https:\/\/docs.spring.io\/spring-security\/reference\/servlet\/authentication\/passwords\/password-encoder.html\" rel=\"noopener noreferrer nofollow\">Password Encoder<\/a> \u0438\u0437\u00a0\u0432\u0441\u0435\u0433\u043e \u043f\u043e\u0442\u043e\u043a\u0430 \u0432\u0445\u043e\u0434\u044f\u0449\u0438\u0445 \u043a\u043b\u0430\u0441\u0441\u043e\u0432, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u043c\u044b\u00a0\u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u043c \u043d\u0430\u0447\u0438\u043d\u0430\u0435\u0442\u0441\u044f\u00a0\u043b\u0438 \u043f\u043e\u043b\u043d\u043e\u0435 \u0438\u043c\u044f \u043a\u043b\u0430\u0441\u0441\u0430 \u0441\u00a0\u043f\u0430\u043a\u0435\u0442\u0430 <em>org.springframework.security<\/em> \u0438\u00a0\u0437\u0430\u043a\u0430\u043d\u0447\u0438\u0432\u0430\u0435\u0442\u0441\u044f\u00a0\u043b\u0438 \u043e\u043d\u043e \u043d\u0430\u00a0\u0441\u043b\u043e\u0432\u043e <em>Encoder<\/em>.<\/p>\n<blockquote>\n<p>\u041e\u0431\u0440\u0430\u0442\u0438\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435 \u043d\u0430\u00a0\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u0435 \u0447\u0435\u0440\u0435\u0437 \u0441\u043b\u0435\u0448\u00a0\u2014 \u043a\u0430\u0436\u0434\u044b\u0439 \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u0432\u00a0\u043f\u0430\u043a\u0435\u0442\u043d\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u0435 Java \u043d\u0430\u00a0\u0441\u0430\u043c\u043e\u043c \u0434\u0435\u043b\u0435 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0432\u043b\u043e\u0436\u0435\u043d\u043d\u044b\u043c \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u043e\u043c, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u00abclassName\u00bb \u044d\u0442\u043e \u043d\u0430\u00a0\u0441\u0430\u043c\u043e\u043c \u0434\u0435\u043b\u0435 \u043f\u043e\u043b\u043d\u044b\u0439 \u043f\u0443\u0442\u044c \u0434\u043e\u00a0.class \u0444\u0430\u0439\u043b\u0430 \u0441\u00a0\u0431\u0430\u0439\u0442\u043a\u043e\u0434\u043e\u043c, \u0443\u0431\u0438\u0440\u0430\u044e\u0442\u0441\u044f \u043b\u0438\u0448\u044c \u043f\u0440\u0435\u0444\u0438\u043a\u0441\u044b \u0432\u0440\u043e\u0434\u0435 file:\/\/ \u0438\u043b\u0438 jar:\/\/<\/p>\n<\/blockquote>\n<p>\u0412\u0435\u0440\u0441\u0438\u044f \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0434\u043b\u044f Atlassian Jira \u043f\u043e\u00a0\u0441\u0432\u043e\u0435\u0439 \u0441\u0443\u0442\u0438 \u0430\u043d\u0430\u043b\u043e\u0433\u0438\u0447\u043d\u0430, \u043f\u0440\u043e \u043d\u0435\u0435 \u0431\u0443\u0434\u0435\u0442 \u0440\u0430\u0441\u0441\u043a\u0430\u0437 \u0447\u0443\u0442\u044c \u043d\u0438\u0436\u0435. \u0414\u0430\u043b\u044c\u0448\u0435 \u0443 \u043d\u0430\u0441 \u0438\u0434\u0435\u0442 \u043f\u0435\u0440\u0432\u0430\u044f \u043e\u0442\u0431\u0440\u0430\u043a\u043e\u0432\u043a\u0430:<\/p>\n<pre><code class=\"java\">if (!foundSpring &amp;&amp; !foundAtlassian) {                 return classfileBuffer; }<\/code><\/pre>\n<p>\u041c\u044b \u043f\u0440\u043e\u0441\u0442\u043e \u0432\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u0435\u043c \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b\u044c\u043d\u044b\u0439 \u043c\u0430\u0441\u0441\u0438\u0432 \u0431\u0430\u0439\u0442 \u0441 \u043d\u0435\u0438\u0437\u043c\u0435\u043d\u0435\u043d\u043d\u044b\u043c \u043a\u043b\u0430\u0441\u0441\u043e\u043c \u0438 \u0432\u044b\u0445\u043e\u0434\u0438\u043c \u0438\u0437 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0430.<\/p>\n<p>\u0417\u0430\u0442\u0435\u043c \u043d\u0430\u0447\u0438\u043d\u0430\u0435\u0442\u0441\u044f \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u0431\u043b\u043e\u043a, \u0433\u0434\u0435 \u0438 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0435 \u0432\u0435\u0441\u0435\u043b\u044c\u0435:<\/p>\n<pre><code class=\"java\">System.out.printf(\"processing class %s%n\", className); try {        .. } catch (Throwable ex) {      System.err.printf(\"Error transforming class: %s%n\", ex.getMessage());      return classfileBuffer; }<\/code><\/pre>\n<p>\u041a\u0430\u043a \u0432\u044b\u00a0\u0432\u0438\u0434\u0438\u0442\u0435, \u0432\u0441\u044f \u043b\u043e\u0433\u0438\u043a\u0430 \u043e\u0431\u0435\u0440\u043d\u0443\u0442\u0430 \u0432\u00a0\u00abtry-catch\u00bb, \u043f\u0440\u0438\u0447\u0435\u043c \u0441\u00a0\u043e\u0442\u043b\u043e\u0432\u043e\u043c \u0441\u0440\u0430\u0437\u0443 \u0432\u0441\u0435\u0445 \u0443\u0440\u043e\u0432\u043d\u0435\u0439 \u043e\u0448\u0438\u0431\u043e\u043a (Throwable!). <\/p>\n<blockquote>\n<p>\u0421\u0434\u0435\u043b\u0430\u043d\u043e \u044d\u0442\u043e \u043d\u0430\u043c\u0435\u0440\u0435\u043d\u043d\u043e, \u043f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u0441\u043e\u0433\u043b\u0430\u0441\u043d\u043e \u0441\u043f\u0435\u0446\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 Java Agent \u0432\u0441\u0435 \u0432\u043e\u0437\u043d\u0438\u043a\u0430\u044e\u0449\u0438\u0435 \u043f\u0440\u0438 \u0432\u044b\u0437\u043e\u0432\u0435 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0430 \u043e\u0448\u0438\u0431\u043a\u0438 <em>\u0442\u0438\u0445\u043e \u0438\u0433\u043d\u043e\u0440\u0438\u0440\u0443\u044e\u0442\u0441\u044f<\/em> \u0438 \u0431\u0435\u0437 try-catch \u0432\u044b \u0438\u0445 \u043f\u0440\u043e\u0441\u0442\u043e \u043d\u0435 \u0443\u0432\u0438\u0434\u0438\u0442\u0435.<\/p>\n<\/blockquote>\n<p>\u041d\u043e \u0435\u0434\u0435\u043c \u0434\u0430\u043b\u044c\u0448\u0435:<\/p>\n<pre><code class=\"java\">final CtClass ctClass = scopedClassPoolFactory.create(loader, rootPool,                    ScopedClassPoolRepositoryImpl.getInstance())                         .makeClass(new ByteArrayInputStream(classfileBuffer));             <\/code><\/pre>\n<p>\u042d\u0442\u043e\u0442 \u0437\u0430\u043c\u0435\u0447\u0430\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0432\u044b\u0437\u043e\u0432 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442 \u0440\u0430\u0437\u0431\u043e\u0440 \u043c\u0430\u0441\u0441\u0438\u0432\u0430 \u0431\u0430\u0439\u0442 \u0438\u00a0\u0444\u043e\u0440\u043c\u0438\u0440\u0443\u0435\u0442 \u043e\u0431\u044a\u0435\u043a\u0442 <a href=\"https:\/\/www.javassist.org\/html\/javassist\/CtClass.html\" rel=\"noopener noreferrer nofollow\">CtClass<\/a>, \u0441\u00a0\u043c\u0435\u0442\u0430\u0434\u0430\u043d\u043d\u044b\u043c\u0438 \u043e\u00a0\u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0435\u0439 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0435 \u043a\u043b\u0430\u0441\u0441\u0430.<\/p>\n<blockquote>\n<p>\u041d\u0430\u00a0\u044d\u0442\u043e\u043c \u044d\u0442\u0430\u043f\u0435 \u0431\u0443\u0434\u0443\u0442 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b \u0432\u0441\u0435 \u043f\u043e\u043b\u044f \u043a\u043b\u0430\u0441\u0441\u0430 \u0438\u00a0\u0432\u0441\u0435 \u043c\u0435\u0442\u043e\u0434\u044b, \u043d\u043e\u00a0\u0431\u0435\u0437 \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d\u043d\u043e\u0433\u043e \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0433\u043e, \u043f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 Javassist \u043d\u0435\u00a0\u0437\u0430\u043d\u0438\u043c\u0430\u0435\u0442\u0441\u044f \u0434\u0435\u043a\u043e\u043c\u043f\u0438\u043b\u044f\u0446\u0438\u0435\u0439 \u0434\u043e\u00a0\u0438\u0441\u0445\u043e\u0434\u043d\u043e\u0433\u043e \u043a\u043e\u0434\u0430.<\/p>\n<\/blockquote>\n<p>\u0427\u0442\u043e \u0432\u0430\u0436\u043d\u043e \u0434\u043b\u044f \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0433\u043e \u0448\u0430\u0433\u0430:<\/p>\n<pre><code class=\"java\">if (ctClass.isInterface() || ctClass.isAnnotation()                         || ctClass.isPrimitive()                          || ctClass.isArray() || ctClass.isEnum()) {                     return classfileBuffer; }<\/code><\/pre>\n<p>\u0412\u00a0\u044d\u0442\u043e\u043c \u043c\u0435\u0441\u0442\u0435 \u043c\u044b\u00a0\u0434\u0435\u043b\u0430\u0435\u043c \u0432\u0442\u043e\u0440\u0443\u044e \u043e\u0442\u0441\u0435\u0447\u043a\u0443, \u0443\u0436\u0435 \u043f\u043e\u00a0\u043c\u0435\u0442\u0430\u0434\u0430\u043d\u043d\u044b\u043c \u043a\u043b\u0430\u0441\u0441\u0430\u00a0\u2014 \u0447\u0442\u043e\u0431\u044b \u043d\u0435\u00a0\u043e\u0448\u0438\u0431\u0438\u0442\u044c\u0441\u044f \u0432\u043e\u00a0\u0432\u0440\u0435\u043c\u044f \u043f\u043e\u0434\u043c\u0435\u043d\u044b.<\/p>\n<blockquote>\n<p>\u0415\u0441\u043b\u0438 \u043a\u043b\u0430\u0441\u0441 \u043e\u043a\u0430\u0437\u0430\u043b\u0441\u044f \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u043e\u043c, \u0430\u043d\u043d\u043e\u0442\u0430\u0446\u0438\u0435\u0439, \u043f\u0440\u0438\u043c\u0438\u0432\u043d\u044b\u043c \u0442\u0438\u043f\u043e\u043c, \u043c\u0430\u0441\u0441\u0438\u0432\u043e\u043c \u0438\u043b\u0438 \u043f\u0435\u0440\u0435\u0447\u0438\u0441\u043b\u0435\u043d\u0438\u0435\u043c\u00a0\u2014 \u043f\u0440\u043e\u0441\u0442\u043e \u0432\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u0435\u043c \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b\u044c\u043d\u044b\u0439 \u043c\u0430\u0441\u0441\u0438\u0432 \u0431\u0430\u0439\u0442 \u0438\u00a0\u0432\u044b\u0445\u043e\u0434\u0438\u043c, \u043d\u0435\u00a0\u043f\u044b\u0442\u0430\u044f\u0441\u044c \u0438\u0437\u043c\u0435\u043d\u0438\u0442\u044c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435.<\/p>\n<\/blockquote>\n<p>\u0412 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u043c \u0431\u043b\u043e\u043a\u0435 \u043a\u043e\u0434\u0430 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u043e\u0431\u0445\u043e\u0434 \u0432\u0441\u0435\u0445 \u043c\u0435\u0442\u043e\u0434\u043e\u0432 \u043a\u043b\u0430\u0441\u0441\u0430 \u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 \u0438\u0445 \u043d\u0430 \u0441\u043e\u0432\u043f\u0430\u0434\u0435\u043d\u0438\u0435 \u043f\u043e \u0438\u043c\u0435\u043d\u0438:<\/p>\n<pre><code class=\"java\">for (CtMethod method : ctClass.getDeclaredMethods()) {                     if ((foundAtlassian &amp;&amp; method.getName().equals(\"isValidPassword\"))                             || (foundSpring &amp;&amp; method.getName().equals(\"matches\"))) {                         method.insertBefore(BYPASS_PAYLOAD);                         System.out.printf(\"altered method: %s%n\", method.getName());                         break;                     } }<\/code><\/pre>\n<p>\u0415\u0441\u043b\u0438 \u0442\u0430\u043a\u043e\u0432\u043e\u0435 \u043d\u0430\u0439\u0434\u0435\u043d\u043e, \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u0432\u0441\u0442\u0430\u0432\u043a\u0430 \u043d\u0430\u0448\u0435\u0433\u043e \u043a\u043e\u0434\u0430 \u043f\u0435\u0440\u0435\u0434 \u0432\u044b\u0437\u043e\u0432\u043e\u043c \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b\u044c\u043d\u043e\u0439 \u043b\u043e\u0433\u0438\u043a\u0438:<\/p>\n<pre><code class=\"java\">method.insertBefore(BYPASS_PAYLOAD);                       <\/code><\/pre>\n<p>\u0412\u043d\u0443\u0442\u0440\u0438 BYPASS_PAYLOAD \u043e\u0447\u0435\u043d\u044c \u043f\u0440\u043e\u0441\u0442\u043e\u0439 \u043a\u043e\u0434:<\/p>\n<pre><code class=\"java\">if (true) {      System.out.println(\"Bypassing password check..\");      return true;  }<\/code><\/pre>\n<p>\u041e\u043d\u00a0\u043f\u0440\u043e\u0441\u0442\u043e \u0443\u043c\u0435\u043d\u044c\u0448\u0435\u043d \u0438\u00a0\u0437\u0430\u043f\u0438\u0441\u0430\u043d \u0432\u00a0\u043e\u0434\u043d\u0443 \u0441\u0442\u0440\u043e\u043a\u043e\u0432\u0443\u044e \u043a\u043e\u043d\u0441\u0442\u0430\u043d\u0442\u0443 \u0434\u043b\u044f \u043f\u043e\u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0433\u043e \u0440\u0435\u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f, \u043f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u043b\u043e\u0433\u0438\u043a\u0430 \u0434\u043b\u044f \u043f\u043e\u0434\u043c\u0435\u043d\u044b \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438 \u0432\u00a0Jira \u0438\u00a0Spring Security \u0441\u043e\u0432\u043f\u0430\u0434\u0430\u0435\u0442.<\/p>\n<p>\u041d\u0430\u043a\u043e\u043d\u0435\u0446 \u0444\u0438\u043d\u0430\u043b \u0432\u0441\u0435\u0445 \u043d\u0430\u0448\u0438\u0445 \u043f\u0440\u0430\u0432\u043e\u043a:<\/p>\n<pre><code class=\"java\">final byte[] byteCode = ctClass.toBytecode(); ctClass.detach(); return byteCode;<\/code><\/pre>\n<p>\u0422\u0443\u0442 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u0432\u044b\u0433\u0440\u0443\u0437\u043a\u0430 <strong>\u0438\u0437\u043c\u0435\u043d\u0435\u043d\u043d\u043e\u0433\u043e \u043a\u043b\u0430\u0441\u0441\u0430<\/strong> \u043e\u0431\u0440\u0430\u0442\u043d\u043e \u0432 \u043c\u0430\u0441\u0441\u0438\u0432 \u0431\u0430\u0439\u0442 \u0438 \u043e\u0442\u0434\u0430\u0447\u0430 \u044d\u0442\u043e\u0433\u043e \u043c\u0430\u0441\u0441\u0438\u0432\u0430 \u0438\u0437 \u043d\u0430\u0448\u0435\u0433\u043e \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0430.<\/p>\n<p>\u0412\u0441\u0435, \u0434\u0430\u043b\u044c\u0448\u0435 JVM \u0441\u0430\u043c\u0430 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u044d\u0442\u043e\u0442 \u043c\u0430\u0441\u0441\u0438\u0432 \u0431\u0430\u0439\u0442 \u0438 \u0437\u0430\u0433\u0440\u0443\u0437\u0438\u0442 \u0435\u0433\u043e \u0432 \u0432\u0438\u0434\u0435 \u043a\u043b\u0430\u0441\u0441\u0430. <\/p>\n<h4>\u0418\u0442\u043e\u0433\u043e<\/h4>\n<p>\u0412 \u0438\u0442\u043e\u0433\u0435 \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442\u0441\u044f \u0432\u043d\u0435\u0448\u043d\u044f\u044f \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0430, \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u043c\u0430\u044f \u0447\u0435\u0440\u0435\u0437 \u043e\u043a\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u043a \u0443\u0436\u0435 \u0441\u043e\u0431\u0440\u0430\u043d\u043d\u043e\u043c\u0443 \u043f\u0440\u043e\u0435\u043a\u0442\u0443.<\/p>\n<blockquote>\n<p>\u0411\u0435\u0437 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e\u0441\u0442\u0438 \u0432\u0435\u0441\u0442\u0438 \u0438 \u0440\u0430\u0437\u0434\u0430\u0432\u0430\u0442\u044c \u0442\u0435\u0441\u0442\u043e\u0432\u044b\u0435 \u043f\u0430\u0440\u043e\u043b\u0438, \u0431\u0435\u0437\u00a0\u0440\u0438\u0441\u043a\u043e\u0432 \u0438\u0445 \u0443\u0442\u0435\u0447\u043a\u0438 \u0438 \u0431\u0435\u0437\u00a0\u0440\u0438\u0441\u043a\u0430 \u043f\u043e\u043f\u0430\u0434\u0430\u043d\u0438\u044f \u043d\u0430\u00a0\u043f\u0440\u043e\u0434\u0430\u043a\u0448\u043d \u00ab\u0432\u0441\u043b\u0435\u043f\u0443\u044e\u00bb, \u043f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0430 \u0444\u0438\u0437\u0438\u0447\u0435\u0441\u043a\u0438 \u043e\u0442\u0434\u0435\u043b\u0435\u043d\u0430 \u043e\u0442\u00a0\u0441\u0431\u043e\u0440\u043a\u0438.<\/p>\n<\/blockquote>\n<p>\u041f\u043e\u043a\u0430 \u0438\u0434\u0435\u0442 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0430 \u0438 \u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435\u00a0\u2014 \u0443\u00a0\u0432\u0441\u0435\u0445 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u043e\u0432 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 \u043f\u043e\u043b\u043d\u043e\u0441\u0442\u044c\u044e \u043f\u0440\u043e\u043f\u0430\u0434\u0430\u0435\u0442 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u0430 \u0432\u0445\u043e\u0434\u0430 \u043d\u0430\u00a0\u0442\u0435\u0441\u0442\u043e\u0432\u044b\u0439 \u0441\u0442\u0435\u043d\u0434 \u043f\u043e\u0434\u00a0\u043b\u044e\u0431\u043e\u0439 \u0440\u043e\u043b\u044c\u044e \u0438 \u0432\u00a0\u043b\u044e\u0431\u043e\u0439 \u043a\u043e\u043c\u0431\u0438\u043d\u0430\u0446\u0438\u0438 \u043f\u0440\u0430\u0432.<\/p>\n<p>\u0427\u0442\u043e \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u0442 100 \u043e\u0447\u043a\u043e\u0432 \u0431\u043e\u0434\u0440\u043e\u0441\u0442\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0443.<\/p>\n<p>\u041d\u043e \u044d\u0442\u043e \u0435\u0449\u0435 \u043d\u0435 \u0432\u0441\u0435.<\/p>\n<blockquote>\n<p>\u0412\u00a0\u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0431\u043e\u043d\u0443\u0441\u0430 \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u043c \u043f\u0440\u043e\u00a0\u0430\u0434\u0430\u043f\u0442\u0430\u0446\u0438\u044e \u043d\u0430\u0448\u0435\u0433\u043e \u0440\u0435\u0448\u0435\u043d\u0438\u044f \u0434\u043b\u044f\u00a0Atlassian Jira\u00a0\u2014 \u043f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u043c\u044b \u0440\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u043e \u0437\u0430\u043d\u0438\u043c\u0430\u0435\u043c\u0441\u044f \u043a\u0430\u043a\u00a0\u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u043e\u0439 \u043c\u043e\u0434\u0443\u043b\u0435\u0439 \u0434\u043b\u044f\u00a0\u043d\u0435\u0435, \u0442\u0430\u043a \u0438 \u0441\u043b\u043e\u0436\u043d\u043e\u0439 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u043e\u0439 \u0438 \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u0435\u043c, \u0443\u00a0\u043d\u0430\u0441\u00a0\u0431\u044b\u0432\u0430\u0435\u0442 \u0440\u0430\u0437\u0432\u0435\u0440\u043d\u0443\u0442\u043e \u043c\u043d\u043e\u0433\u043e \u0440\u0430\u0437\u043d\u044b\u0445 \u0438\u043d\u0441\u0442\u0430\u043d\u0441\u043e\u0432 \u044d\u0442\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u044b. <\/p>\n<\/blockquote>\n<p>\u0410 \u0431\u0435\u0437\u00a0\u043e\u043f\u0438\u0441\u0430\u043d\u043d\u043e\u0433\u043e \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430 \u0440\u0435\u0433\u0443\u0440\u044f\u0440\u043d\u043e \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u043b\u0430 \u0434\u0440\u0430\u043c\u0430 \u0438 \u043e\u0433\u043e\u0440\u0447\u0435\u043d\u0438\u0435 \u043f\u043e\u0441\u0440\u0435\u0434\u0438 \u043e\u0444\u0438\u0441\u0430.<\/p>\n<h3>&#171;\u0416\u044b\u0440\u043d\u0430\u044f \u0416\u0438\u0440\u0430&#187;<\/h3>\n<p>\u041a\u043e\u0433\u0434\u0430 \u0438\u043c\u0435\u0435\u0448\u044c \u0434\u0435\u043b\u043e \u0441\u043e \u0441\u0442\u043e\u043b\u044c \u0441\u0442\u0430\u0440\u044b\u043c \u043f\u0440\u043e\u0435\u043a\u0442\u043e\u043c (\u0430 Jira \u043f\u043e\u044f\u0432\u0438\u043b\u0430\u0441\u044c <em>\u0440\u0430\u043d\u044c\u0448\u0435<\/em> \u0447\u0435\u043c \u044f \u043d\u0430\u0447\u0430\u043b \u043f\u0438\u0441\u0430\u0442\u044c \u043a\u043e\u0434 \u043d\u0430\u00a0Java, \u043d\u0430\u00a0\u043c\u0438\u043d\u0443\u0442\u043e\u0447\u043a\u0443), \u0441\u0442\u043e\u0438\u0442 \u043e\u0436\u0438\u0434\u0430\u0442\u044c \u0447\u0442\u043e\u00a0\u0432\u0441\u0435 \u0431\u0443\u0434\u0435\u0442 \u043d\u0435\u043f\u0440\u043e\u0441\u0442\u043e. <\/p>\n<p>\u0425\u043e\u0442\u044f \u0432\u043d\u0443\u0442\u0440\u0438 Jira \u0438 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u044e\u0442 \u043a\u043b\u0430\u0441\u0441\u044b \u0438\u0437 Spring Security, \u0441\u0430\u043c \u043f\u0440\u043e\u0435\u043a\u0442 <strong>\u043d\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442<\/strong> \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u0439 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c <em>Password Encoder<\/em> \u043f\u0440\u0438 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438.<\/p>\n<blockquote>\n<p>\u0412\u043c\u0435\u0441\u0442\u043e \u043d\u0435\u0433\u043e \u0432\u00a0Jira \u0435\u0441\u0442\u044c \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u0430\u044f \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044f, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u0432\u00a0\u0444\u0430\u0439\u043b\u0435 <strong>atlassian-password-encoder*.jar<\/strong> \u0432\u00a0\u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0435 $JIRA_HOME\/atlassian-jira\/WEB-INF\/lib.<\/p>\n<\/blockquote>\n<p>\u0412\u043d\u0443\u0442\u0440\u0438 \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u043a\u043b\u0430\u0441\u0441 <em>DefaultPasswordEncoder<\/em>, \u0441\u00a0\u043d\u0443\u0436\u043d\u044b\u043c \u043d\u0430\u043c \u043c\u0435\u0442\u043e\u0434\u043e\u043c <em>isValidPassword, <\/em>\u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0442\u043e\u0447\u043d\u043e \u0442\u0430\u043a\u0436\u0435 \u0432\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u0435\u0442 <strong>true<\/strong> \u0438\u043b\u0438 <strong>false<\/strong> \u0432\u00a0\u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u043e\u0442\u00a0\u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u043e\u0432 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u043f\u0430\u0440\u043e\u043b\u044f.<\/p>\n<p>\u041f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u043e\u0431\u0449\u0430\u044f \u043b\u043e\u0433\u0438\u043a\u0430 \u0440\u0430\u0431\u043e\u0442\u044b \u0441\u043e\u0432\u043f\u0430\u0434\u0430\u0435\u0442 \u0441 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u043e\u043c Spring Security, \u043c\u044b \u0442\u043e\u0447\u043d\u043e \u0442\u0430\u043a\u0436\u0435 \u0441\u043d\u0430\u0447\u0430\u043b\u0430 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u043c \u043d\u0443\u0436\u043d\u044b\u0439 \u043a\u043b\u0430\u0441\u0441 \u043f\u0440\u0438 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0435:<\/p>\n<pre><code class=\"java\">private boolean checkIfAtlassianSecurityPasswordEncoder(String className) {             return className.contains(\"com\/atlassian\/security\/\")                    &amp;&amp; className.endsWith(\"Encoder\"); }<\/code><\/pre>\n<p>\u0430 \u0437\u0430\u0442\u0435\u043c \u0432\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u043c \u043d\u0430\u0448\u0443 \u043b\u043e\u0433\u0438\u043a\u0443 \u0432 \u0441\u0430\u043c \u043c\u0435\u0442\u043e\u0434:<\/p>\n<pre><code class=\"java\">for (CtMethod method : ctClass.getDeclaredMethods()) {       if ((foundAtlassian &amp;&amp; method.getName().equals(\"isValidPassword\"))               || (foundSpring &amp;&amp; method.getName().equals(\"matches\"))) {                 method.insertBefore(BYPASS_PAYLOAD);                 System.out.printf(\"altered method: %s%n\",method.getName());                 break;       } }<\/code><\/pre>\n<p>\u0418 \u0432\u0441\u0435 \u0437\u0430\u043c\u0435\u0447\u0430\u0442\u0435\u043b\u044c\u043d\u043e \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442.<\/p>\n<p>\u0427\u0442\u043e\u0431\u044b \u0432\u00a0\u044d\u0442\u043e\u043c \u0443\u0431\u0435\u0434\u0438\u0442\u044c\u0441\u044f, \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u043c \u043d\u0430\u0448 \u0430\u0433\u0435\u043d\u0442 \u0432\u00a0\u0441\u043a\u0440\u0438\u043f\u0442\u0435 \u0437\u0430\u043f\u0443\u0441\u043a\u0430 Jira (\u0444\u0430\u0439\u043b <em>$JIRA_HOME\/bin\/setenv.sh<\/em>) \u0432\u043e\u0442 \u0432\u00a0\u0442\u0430\u043a\u043e\u043c \u0432\u0438\u0434\u0435:<\/p>\n<pre><code class=\"bash\">JVM_SUPPORT_RECOMMENDED_ARGS=\"-javaagent:\/\u043f\u043e\u043b\u043d\u044b\u0439\/\u043f\u0443\u0442\u044c\/\u0434\u043e\/butterfly.jar\"<\/code><\/pre>\n<p>\u0418\u00a0\u043f\u0435\u0440\u0435\u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u043c. <\/p>\n<blockquote>\n<p>\u041f\u043e\u0441\u043b\u0435 \u043f\u0435\u0440\u0435\u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u0431\u0443\u0434\u0435\u0442 \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u044f \u0441\u00a0\u043b\u044e\u0431\u044b\u043c \u043d\u0430\u0431\u043e\u0440\u043e\u043c \u0441\u0438\u043c\u0432\u043e\u043b\u043e\u0432 \u0432\u043c\u0435\u0441\u0442\u043e \u043f\u0430\u0440\u043e\u043b\u044f.<\/p>\n<\/blockquote>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w780q1\/getpro\/habr\/upload_files\/36d\/1e5\/010\/36d1e5010f52b8bc96f6940acce04bdc.jpg\" width=\"1366\" height=\"768\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/36d\/1e5\/010\/36d1e5010f52b8bc96f6940acce04bdc.jpg\" data-blurred=\"true\"\/><\/figure>\n<p>\u0414\u0430\u043d\u043d\u0430\u044f \u0441\u0442\u0430\u0442\u044c\u044f \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043e\u0442\u0446\u0435\u043d\u0437\u0443\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0439 \u0432\u0435\u0440\u0441\u0438\u0435\u0439 (\u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u0434\u043b\u044f \u0425\u0430\u0431\u0440\u0430) \u043a\u0443\u0434\u0430 \u0431\u043e\u043b\u0435\u0435 \u0444\u0440\u0438\u0432\u043e\u043b\u044c\u043d\u043e\u0433\u043e <a href=\"https:\/\/blog.0x08.ru\/knife-for-jira-bypass-password-check\" rel=\"noopener noreferrer nofollow\">\u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b\u0430<\/a>, \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u043e\u0433\u043e \u0432\u00a0\u043d\u0430\u0448\u0435\u043c \u0431\u043b\u043e\u0433\u0435. <\/p>\n<p>\u041e\u0440\u0438\u0433\u0438\u043d\u0430\u043b\u044c\u043d\u0430\u044f \u0441\u0442\u0430\u0442\u044c\u044f\u00a0\u0431\u044b\u043b\u0430 \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u0430 \u0435\u0449\u0435 \u0432\u00a0\u044f\u043d\u0432\u0430\u0440\u0435 2024\u0433\u043e, \u0430\u00a0\u0441\u0430\u043c\u043e \u0440\u0435\u0448\u0435\u043d\u0438\u0435 \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u0435\u043c \u0434\u043b\u044f\u00a0\u0443\u0441\u043a\u043e\u0440\u0435\u043d\u0438\u044f \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0438 \u0438 \u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0435 10\u00a0\u043b\u0435\u0442. <\/p>\n<p>\u0422\u0430\u043a \u0447\u0442\u043e\u00a0\u043a\u0430\u043a\u00a0\u043e\u043f\u0438\u0441\u0430\u043d\u043d\u0430\u044f \u043c\u0435\u0442\u043e\u0434\u043e\u043b\u043e\u0433\u0438\u044f \u0442\u0430\u043a \u0438 \u043d\u0435\u043f\u043e\u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u043a\u043e\u0434\u00a0\u2014 <strong>\u0440\u0430\u0431\u043e\u0447\u0438\u0435<\/strong> \u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442\u0441\u044f \u043a\u0430\u0436\u0434\u044b\u0439 \u0434\u0435\u043d\u044c.<\/p>\n<h4>0x08 Software<\/h4>\n<p>\u041c\u044b \u043d\u0435\u0431\u043e\u043b\u044c\u0448\u0430\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u0430 \u0432\u0435\u0442\u0435\u0440\u0430\u043d\u043e\u0432 \u0418\u0422\u2011\u0438\u043d\u0434\u0443\u0441\u0442\u0440\u0438\u0438, \u0441\u043e\u0437\u0434\u0430\u0435\u043c \u0438 \u0434\u043e\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u043c \u0441\u0430\u043c\u043e\u0435 \u0440\u0430\u0437\u043d\u043e\u043e\u0431\u0440\u0430\u0437\u043d\u043e\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u043e\u0435 \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u0435, \u043d\u0430\u0448 \u0441\u043e\u0444\u0442 \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0437\u0438\u0440\u0443\u0435\u0442 \u0431\u0438\u0437\u043d\u0435\u0441\u2011\u043f\u0440\u043e\u0446\u0435\u0441\u0441\u044b \u043d\u0430\u00a0\u0442\u0440\u0435\u0445 \u043a\u043e\u043d\u0442\u0438\u043d\u0435\u043d\u0442\u0430\u0445, \u0432\u00a0\u0441\u0430\u043c\u044b\u0445 \u0440\u0430\u0437\u043d\u044b\u0445 \u043e\u0442\u0440\u0430\u0441\u043b\u044f\u0445 \u0438 \u0443\u0441\u043b\u043e\u0432\u0438\u044f\u0445.<\/p>\n<p>\u041e\u0436\u0438\u0432\u043b\u044f\u0435\u043c\u00a0<a href=\"https:\/\/blog.0x08.ru\/xerox-alto-bcpl-hello-world\" rel=\"noopener noreferrer nofollow\">\u0434\u0430\u0432\u043d\u043e \u0443\u043c\u0435\u0440\u0448\u0435\u0435<\/a>,\u00a0<a href=\"https:\/\/blog.0x08.ru\/running-from-websphere-esb\" rel=\"noopener noreferrer nofollow\">\u0447\u0438\u043d\u0438\u043c \u043d\u0438\u043a\u043e\u0433\u0434\u0430 \u043d\u0435\u00a0\u0440\u0430\u0431\u043e\u0442\u0430\u0432\u0448\u0435\u0435<\/a>\u00a0\u0438 \u0441\u043e\u0437\u0434\u0430\u0435\u043c\u00a0<a href=\"https:\/\/blog.0x08.ru\/call-webservice-from-dos\" rel=\"noopener noreferrer nofollow\">\u043d\u0435\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0435<\/a>\u00a0\u2014 \u0437\u0430\u0442\u0435\u043c \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u043c \u043e\u0431\u00a0\u044d\u0442\u043e\u043c \u0432\u00a0\u0441\u0432\u043e\u0438\u0445 \u0441\u0442\u0430\u0442\u044c\u044f\u0445.<\/p>\n<\/p>\n<\/div>\n<\/div>\n<\/div>\n<p><!----><!----><\/div>\n<p><!----><!----><br \/> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/articles\/823100\/\"> https:\/\/habr.com\/ru\/articles\/823100\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<div><!--[--><!--]--><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-2\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<p>\u0412\u00a0\u043b\u044e\u0431\u043e\u0439 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0435 \u0440\u0430\u043d\u043e \u0438\u043b\u0438\u00a0\u043f\u043e\u0437\u0434\u043d\u043e \u043f\u043e\u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f <em>\u0442\u0435\u0441\u0442\u043e\u0432\u044b\u0435 \u0441\u0442\u0435\u043d\u0434\u044b<\/em>\u00a0\u2014 \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0435 \u0438\u043d\u0441\u0442\u0430\u043b\u043b\u044f\u0446\u0438\u0438 \u0442\u0435\u0441\u0442\u043e\u0432\u043e\u0439 \u0441\u0431\u043e\u0440\u043a\u0438 \u0432\u0430\u0448\u0435\u0439 \u0440\u0430\u0437\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u043c\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u044b, \u0441\u00a0\u0442\u0435\u0441\u0442\u043e\u0432\u044b\u043c\u0438 \u0434\u0430\u043d\u043d\u044b\u043c\u0438 \u0438 \u0442\u0435\u0441\u0442\u043e\u0432\u044b\u043c\u0438\u00a0\u0436\u0435 \u0443\u0447\u0435\u0442\u043d\u044b\u043c\u0438 \u0437\u0430\u043f\u0438\u0441\u044f\u043c\u0438. \u0418\u043c\u0435\u043d\u043d\u043e \u043e\u0442\u0441\u044e\u0434\u0430 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u0437\u043d\u0430\u043c\u0435\u043d\u0438\u0442\u043e\u0435 \u00ab<strong>admin\/admin<\/strong>\u00bb, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u0432\u0431\u0438\u0432\u0430\u043b \u0432\u00a0\u043f\u043e\u043b\u044f \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438 \u043d\u0430\u0432\u0435\u0440\u043d\u043e\u0435 \u043a\u0430\u0436\u0434\u044b\u0439 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a.<\/p>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u044c\u0442\u0435 \u0447\u0442\u043e \u0443 \u0432\u0430\u0441 \u0432 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0435 \u043d\u0435 \u043e\u0434\u0438\u043d \u043f\u0440\u043e\u0435\u043a\u0442 \u0430 \u0441\u043a\u0430\u0436\u0435\u043c <strong>50<\/strong>, \u0447\u0430\u0441\u0442\u044c \u0438\u0437 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0442\u0440\u0435\u0431\u0443\u0435\u0442 \u0441\u0440\u0430\u0437\u0443 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u0445 \u0441\u0442\u0435\u043d\u0434\u043e\u0432. \u0417\u043d\u0430\u043a\u043e\u043c\u043e? <\/p>\n<figure class=\"full-width\">\n<div><figcaption>Jira, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0431\u043e\u043b\u044c\u0448\u0435 \u043d\u0435 \u043f\u0440\u043e\u0441\u0438\u0442 \u043f\u0430\u0440\u043e\u043b\u0435\u0439.<\/figcaption><\/div>\n<\/figure>\n<p>\u041f\u043e\u043c\u0438\u043c\u043e \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0438 \u0441\u00a0\u043d\u0443\u043b\u044f, \u0435\u0441\u0442\u044c \u0435\u0449\u0435 \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u0435 \u0433\u043e\u0442\u043e\u0432\u044b\u0445 \u0441\u0438\u0441\u0442\u0435\u043c\u00a0\u2014 \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u0434\u043b\u044f\u00a0\u0442<em>\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u043b\u0430\u0433\u0438\u043d\u043e\u0432<\/em> \u0438 \u0432\u00a0\u044d\u0442\u043e\u043c \u0437\u0430\u043c\u0435\u0447\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u043a\u00a0\u0442\u0435\u0441\u0442\u043e\u0432\u043e\u043c\u0443 \u043f\u0430\u0440\u043e\u043b\u044e \u043c\u043e\u0433\u0443\u0442 \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u0442\u044c\u0441\u044f \u0432\u043f\u043e\u043b\u043d\u0435 <em>\u0432\u0437\u0440\u043e\u0441\u043b\u044b\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438<\/em>\u00a0\u2014 \u0434\u043b\u0438\u043d\u0430, <s>\u0448\u0438\u0440\u0438\u043d\u0430,<\/s> \u0441\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0438 \u043d\u0430\u043b\u0438\u0447\u0438\u0435 \u0441\u043f\u0435\u0446\u0441\u0438\u043c\u0432\u043e\u043b\u043e\u0432. <\/p>\n<blockquote>\n<p>\u0410 \u043f\u043e\u0441\u043b\u0435 \u0442\u0440\u0435\u0445 \u043e\u0448\u0438\u0431\u043e\u043a \u0432\u0430\u043c \u0431\u0443\u0434\u0435\u0442 \u0432\u043a\u043b\u044e\u0447\u0430\u0442\u044c\u0441\u044f <em>\u043a\u0430\u043f\u0447\u0430<\/em>.  \u041f\u043e\u0441\u043b\u0435 \u043f\u044f\u0442\u0438\u00a0\u2014 \u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u043a\u0430 \u0443\u0447\u0435\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438 \u043d\u0430\u00a0\u0441\u0443\u0442\u043a\u0438.<\/p>\n<\/blockquote>\n<p>\u0418 \u0432\u0441\u0435 \u044d\u0442\u043e \u043d\u0430 \u0442\u0435\u0441\u0442\u043e\u0432\u043e\u043c \u0441\u0442\u0435\u043d\u0434\u0435 \u0434\u043b\u044f \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u043e\u0432, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043e\u0442 \u0442\u0430\u043a\u043e\u0439 \u0436\u0438\u0437\u043d\u0438 \u0440\u0430\u0437\u0443\u043c\u0435\u0435\u0442\u0441\u044f \u0441 \u043a\u0430\u0436\u0434\u044b\u043c \u0434\u043d\u0435\u043c \u0431\u0443\u0434\u0443\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u0434\u043e\u0431\u0440\u0435\u0435 \u0438 \u0441\u043f\u043e\u043a\u043e\u0439\u043d\u0435\u0435.<\/p>\n<p>\u041d\u043e\u00a0\u044d\u0442\u043e \u0435\u0449\u0435 \u043d\u0435\u00a0\u0432\u0441\u0435 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u044b, \u0441\u0430\u043c\u043e\u0435 \u0441\u0442\u0440\u0430\u0448\u043d\u043e\u0435 \u0447\u0442\u043e\u00a0\u0442\u0435\u0441\u0442\u043e\u0432\u044b\u0435 \u043f\u0430\u0440\u043e\u043b\u0438 \u043b\u0435\u0433\u043a\u043e,\u00a0\u0431\u044b\u0441\u0442\u0440\u043e \u0438 \u0440\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u043e <strong>\u043f\u043e\u043f\u0430\u0434\u0430\u044e\u0442 \u0432\u00a0\u043f\u0440\u043e\u0434\u0430\u043a\u0448\u043d<\/strong>\u00a0\u2014 \u0447\u0435\u0440\u0435\u0437 \u0434\u0430\u043c\u043f \u0431\u0430\u0437 \u0438\u043b\u0438\u00a0\u043f\u0440\u0435\u0432\u0440\u0430\u0449\u0435\u043d\u0438\u0435 \u0442\u0435\u0441\u0442\u043e\u0432\u043e\u0433\u043e \u0441\u0442\u0435\u043d\u0434\u0430 \u0432\u00a0\u043f\u0440\u043e\u0434\u0443\u043a\u0442\u043e\u0432\u044b\u0439, \u0447\u0442\u043e\u00a0\u0447\u0430\u0441\u0442\u043e \u0441\u043b\u0443\u0447\u0430\u0435\u0442\u0441\u044f \u0432\u00a0\u0441\u0442\u0430\u0440\u0442\u0430\u043f\u0430\u0445.<\/p>\n<p>\u041f\u0440\u0438\u00a0\u044d\u0442\u043e\u043c \u0432\u0441\u0435\u0433\u0434\u0430 \u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0447\u0442\u043e\u00a0\u0434\u043e\u0441\u0442\u0443\u043f \u043a\u00a0\u0442\u0435\u0441\u0442\u043e\u0432\u043e\u0439 \u0443\u0447\u0435\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438\u00a0\u0431\u044b\u043b \u0443\u00a0\u0448\u0438\u0440\u043e\u043a\u043e\u0433\u043e \u043a\u0440\u0443\u0433\u0430\u00a0\u043b\u0438\u0446\u00a0\u2014 \u00ab\u0434\u0430\u0436\u0435 \u0431\u043e\u0431\u0440\u044b \u0432\u0441\u0435 \u0437\u043d\u0430\u044e\u0442\u00bb (\u0446).<\/p>\n<p>\u0418 \u043e\u0442\u043a\u043b\u044e\u0447\u0430\u0442\u044c \u043f\u043e\u0442\u043e\u043c \u0442\u0430\u043a\u0443\u044e \u043e\u0431\u0449\u0443\u044e \u0443\u0447\u0435\u0442\u043d\u0443\u044e \u0437\u0430\u043f\u0438\u0441\u044c \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u0443\u044e \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u0443 (\u0447\u0435\u0440\u0435\u0437 \u043d\u0435\u0435 \u0436\u0435 \u0445\u043e\u0434\u044f\u0442 \u0438 \u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0449\u0438\u043a\u0438 \u0438 \u0430\u043d\u0430\u043b\u0438\u0442\u0438\u043a\u0438 \u0438 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0430),  \u0434\u0430\u0436\u0435 \u0435\u0441\u043b\u0438 \u043f\u043e\u043b\u043e\u0432\u0438\u043d\u0430 \u0438\u0437\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e\u0439 \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u0443\u0441\u043f\u0435\u043b\u0430 \u0443\u0432\u043e\u043b\u0438\u0442\u044c\u0441\u044f.<\/p>\n<blockquote>\n<p>\u0414\u0430, \u0443 \u043d\u0430\u0441 \u0435\u0441\u0442\u044c \u0440\u0435\u0448\u0435\u043d\u0438\u0435, \u0432 \u043a\u0430\u043a\u043e\u0439-\u0442\u043e \u043c\u0435\u0440\u0435 \u043f\u0440\u043e\u0441\u0442\u043e\u0435 \u0438 \u043e\u0447\u0435\u0432\u0438\u0434\u043d\u043e\u0435.<\/p>\n<\/blockquote>\n<p>\u041d\u043e\u00a0\u043a \u0441\u043e\u0436\u0430\u043b\u0435\u043d\u0438\u044e \u0442\u0440\u0435\u0431\u0443\u044e\u0449\u0435\u0435 \u0441\u043b\u043e\u043c\u0430\u0442\u044c \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u0441\u0438\u0445\u043e\u043b\u043e\u0433\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0438 \u0438 \u0437\u0430\u0434\u0443\u0448\u0438\u0442\u044c \u00ab\u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0435\u0433\u043e \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u0438\u043a\u0430\u00bb, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043d\u0435\u043c\u0435\u0434\u043b\u0435\u043d\u043d\u043e \u043e\u0431\u0440\u0430\u0437\u0443\u0435\u0442\u0441\u044f \u0443 \u0432\u0430\u0441 \u0437\u0430\u00a0\u0441\u043f\u0438\u043d\u043e\u0439 \u0438 \u0431\u0443\u0434\u0435\u0442 \u0433\u0440\u043e\u043c\u043a\u043e \u0432\u043e\u0437\u043c\u0443\u0449\u0430\u0442\u044c\u0441\u044f \u0447\u0442\u043e\u00a0\u0442\u0430\u043a \u0434\u0435\u043b\u0430\u0442\u044c \u043d\u0435\u043b\u044c\u0437\u044f.<\/p>\n<p>\u041d\u0430\u0447\u043d\u0435\u043c \u0441 \u043c\u0430\u0442\u0447\u0430\u0441\u0442\u0438.<\/p>\n<h4>\u041c\u0430\u0442\u0447\u0430\u0441\u0442\u044c<\/h4>\n<p>\u041a\u0430\u043a \u0431\u044b \u044d\u0442\u043e \u0443\u0434\u0438\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043d\u0435 \u0437\u0432\u0443\u0447\u0430\u043b\u043e, \u043d\u043e \u0432\u0441\u0435 \u043d\u0430\u0432\u043e\u0440\u043e\u0447\u0435\u043d\u043d\u044b\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438 \u0441\u0432\u043e\u0434\u044f\u0442\u0441\u044f \u043a \u043e\u0434\u043d\u043e\u0439 \u043f\u0440\u043e\u0441\u0442\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u0433\u0434\u0435-\u0442\u043e \u0433\u043b\u0443\u0431\u043e\u043a\u043e \u0432\u043d\u0443\u0442\u0440\u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u0432\u0440\u043e\u0434\u0435 \u0442\u0430\u043a\u043e\u0439:<\/p>\n<pre><code class=\"java\">boolean matches(CharSequence rawPassword, String encodedPassword)<\/code><\/pre>\n<p>\u0412\u043e\u0442 \u0432\u044b\u0434\u0435\u0440\u0436\u043a\u0430 \u0438\u0437 <a href=\"https:\/\/docs.spring.io\/spring-security\/reference\/features\/authentication\/password-storage.html#authentication-password-storage\" rel=\"noopener noreferrer nofollow\">\u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430\u0446\u0438\u0438<\/a> Spring Security, \u043e\u0442\u043a\u0443\u0434\u0430 \u044f \u0435\u0435 \u0432\u0437\u044f\u043b:<\/p>\n<blockquote>\n<p>Verify the encoded password obtained from storage matches the submitted raw password after it too is encoded. Returns true if the passwords match, false if they do not. The stored password itself is never decoded.<\/p>\n<\/blockquote>\n<p>\u0418 \u043d\u0430\u043a\u043e\u043d\u0435\u0446 \u0441\u0430\u043c\u043e\u0435 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e\u0435:<\/p>\n<blockquote>\n<p>Returns: true if the raw password, after encoding, matches the encoded password from storage<\/p>\n<\/blockquote>\n<p>\u041a\u0430\u043a \u0432\u0438\u0434\u0438\u0442\u0435 \u0432\u0441\u0435 \u043d\u0430\u0432\u043e\u0440\u043e\u0447\u0435\u043d\u043d\u044b\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438 \u0441\u0432\u043e\u0434\u044f\u0442\u0441\u044f \u0432 \u0438\u0442\u043e\u0433\u0435 \u043a\u00a0\u0432\u043e\u0442 \u043f\u0440\u043e\u0441\u0442\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u0432\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u044e\u0449\u0435\u0439 <em>true<\/em> \u0438\u043b\u0438 <em>false<\/em>.<\/p>\n<p>\u041d\u0435\u0442, Spring Framework \u0442\u0430\u043a\u043e\u0439 \u043d\u0435 \u043e\u0434\u0438\u043d, \u0432\u043e\u0442 \u0434\u043b\u044f \u043f\u0440\u0438\u043c\u0435\u0440\u0430 <a href=\"https:\/\/docs.djangoproject.com\/en\/5.0\/topics\/auth\/passwords\/#django.contrib.auth.hashers.check_password\" rel=\"noopener noreferrer nofollow\">\u0430\u043d\u0430\u043b\u043e\u0433<\/a> \u0434\u0430\u043d\u043d\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u0434\u043b\u044f Python \u0438 Django:<\/p>\n<blockquote>\n<p>If you\u2019d like to manually authenticate a user by comparing a plain-text password to the hashed password in the database, use the convenience function <code>check_password()<\/code>. It takes two mandatory arguments: the plain-text password to check, and the full value of a user\u2019s <code>password<\/code> field in the database to check against. It returns <code>True<\/code> if they match, <code>False<\/code> otherwise<\/p>\n<\/blockquote>\n<p>\u0410 <a href=\"https:\/\/learn.microsoft.com\/en-us\/aspnet\/web-api\/overview\/security\/basic-authentication\" rel=\"noopener noreferrer nofollow\">\u0432\u043e\u0442<\/a> \u0434\u043b\u044f ASP.NET:<\/p>\n<pre><code class=\"cs\">\/\/ TODO: Here is where you would validate the username and password.  private static bool CheckPassword(string username, string password) {     return username == \"user\" &amp;&amp; password == \"password\"; }<\/code><\/pre>\n<p><a href=\"https:\/\/api.rubyonrails.org\/classes\/ActiveModel\/SecurePassword\/ClassMethods.html\" rel=\"noopener noreferrer nofollow\">\u0412\u043e\u0442<\/a> \u0434\u043b\u044f Ruby \u0438 Rails:<\/p>\n<pre><code class=\"ruby\">has_secure_password(attribute = :password, validations: true)<\/code><\/pre>\n<blockquote>\n<p>Adds methods to set and authenticate against a BCrypt password. This mechanism requires you to have a <code>XXX_digest<\/code> attribute, where <code>XXX<\/code> is the attribute name of your desired password.<\/p>\n<\/blockquote>\n<p>\u041f\u043e\u043b\u0443\u0447\u0430\u0435\u0442\u0441\u044f \u0447\u0442\u043e \u0434\u043b\u044f\u00a0\u0432\u0441\u0435\u0445 \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u044b\u0445 \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a\u043e\u0432, \u044f\u0437\u044b\u043a\u043e\u0432 \u0438 \u0440\u0435\u0448\u0435\u043d\u0438\u0439 \u0442\u0430\u043a\u043e\u0439 \u043f\u043e\u0434\u0445\u043e\u0434 \u0441\u0435\u0439\u0447\u0430\u0441 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u043c, \u0430\u00a0\u0437\u043d\u0430\u0447\u0438\u0442 \u0432\u0435\u0437\u0434\u0435 \u0438 \u0432\u0441\u0435\u0433\u0434\u0430 \u0435\u0441\u0442\u044c \u043a\u0430\u043a\u0430\u044f-\u0442\u043e \u043e\u0434\u043d\u0430 \u0442\u043e\u0447\u043a\u0430 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438\u00a0\u2014 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u044b\u0439 \u043c\u0435\u0442\u043e\u0434, \u0434\u0430\u044e\u0449\u0438\u0439 \u0437\u0435\u043b\u0435\u043d\u044b\u0439 \u0441\u0432\u0435\u0442.<\/p>\n<p>\u041a\u0430\u043a \u0432\u044b\u00a0\u043d\u0430\u0432\u0435\u0440\u043d\u043e\u0435 \u0443\u0436\u0435 \u0434\u043e\u0433\u0430\u0434\u044b\u0432\u0430\u0435\u0442\u0435\u0441\u044c, \u0434\u043b\u044f \u043e\u0442\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438 \u043d\u0443\u0436\u043d\u043e \u0432\u0441\u0435\u0433\u043e \u043b\u0438\u0448\u044c \u0432\u00a0\u0442\u0430\u043a\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u0432\u0435\u0440\u043d\u0443\u0442\u044c <strong>true<\/strong>. <\/p>\n<p>\u0414\u043b\u044f \u043e\u0431\u044b\u0447\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u0435\u043a\u0442\u0430 \u043d\u0430 Spring Boot \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0432\u043e\u0442 \u0442\u0430\u043a\u043e\u0433\u043e \u043a\u043e\u0434\u0430:<\/p>\n<pre><code class=\"java\">@Bean public PasswordEncoder passwordEncoder() {    return new BCryptPasswordEncoder() {        @Override        public boolean matches(CharSequence rawPassword,                                String encodedPassword) {                     \/\/ \"\u0421\u043a\u0440\u0438\u043f\u0430\u0447 \u043d\u0435 \u043d\u0443\u0436\u0435\u043d\" (\u0446)                          return true;                     }        }; }<\/code><\/pre>\n<p>\u0414\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u0442\u0435 \u0432\u00a0\u0432\u0430\u0448 \u043b\u044e\u0431\u0438\u043c\u044b\u0439 \u043a\u043b\u0430\u0441\u0441 \u00ab<a href=\"https:\/\/spring.io\/guides\/gs\/securing-web\/\" rel=\"noopener noreferrer nofollow\">SecurityConfiguration<\/a>\u00bb, \u043f\u0435\u0440\u0435\u0441\u043e\u0431\u0438\u0440\u0430\u0435\u0442\u0435 \u0438\u00a0\u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0435\u00a0\u2014 \u0432\u0443\u0430\u043b\u044f: <\/p>\n<blockquote>\n<p>\u0442\u0435\u043f\u0435\u0440\u044c \u043a\u0430\u0436\u0434\u044b\u0439 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u0441\u043c\u043e\u0436\u0435\u0442 \u0432\u043e\u0439\u0442\u0438 \u043f\u043e\u0434 \u043b\u044e\u0431\u044b\u043c \u043f\u0430\u0440\u043e\u043b\u0435\u043c!<\/p>\n<\/blockquote>\n<p>\u0420\u0430\u0437\u0443\u043c\u0435\u0435\u0442\u0441\u044f \u043d\u0435 \u0441\u0442\u043e\u0438\u0442 \u0442\u0430\u043a\u043e\u0435 \u0434\u0435\u043b\u0430\u0442\u044c \u043d\u0430 \u0431\u043e\u0435\u0432\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u0435, \u0435\u0441\u043b\u0438 \u043d\u0435 \u0445\u043e\u0442\u0438\u0442\u0435 \u043f\u043e\u0442\u0435\u0440\u044f\u0442\u044c \u0440\u0430\u0431\u043e\u0442\u0443.<\/p>\n<p>\u041d\u043e\u00a0\u0434\u0430\u043d\u043d\u044b\u0439 \u043c\u0435\u0442\u043e\u0434 \u043d\u0430\u00a0\u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 <strong>\u043d\u0435\u0443\u0434\u043e\u0431\u0435\u043d<\/strong>\u00a0\u2014 \u0432\u0430\u043c \u043d\u0430\u0434\u043e \u0434\u0435\u043b\u0430\u0442\u044c \u0432\u0441\u0442\u0430\u0432\u043a\u0443 \u0432\u00a0\u043a\u043e\u0434, \u043f\u0435\u0440\u0435\u0441\u043e\u0431\u0438\u0440\u0430\u0442\u044c \u043f\u0440\u043e\u0435\u043a\u0442 \u0438 \u0437\u0430\u0442\u0435\u043c \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u0442\u044c. \u042d\u0442\u043e \u0432\u0441\u0435 \u043f\u043e\u043c\u0438\u043c\u043e \u043d\u0435\u0438\u043b\u043b\u044e\u0437\u043e\u0440\u043d\u044b\u0445 \u0440\u0438\u0441\u043a\u043e\u0432 \u043f\u043e\u043f\u0430\u0434\u0430\u043d\u0438\u044f \u0442\u0430\u043a\u043e\u0433\u043e \u0440\u0435\u0448\u0435\u043d\u0438\u044f \u0432\u00a0\u043f\u0440\u043e\u0434\u0430\u043a\u0448\u043d, \u0441\u043e \u0432\u0441\u0435\u043c\u0438 \u0432\u044b\u0442\u0435\u043a\u0430\u044e\u0449\u0438\u043c\u0438 \u0434\u043b\u044f \u0432\u0430\u0441 \u043f\u043e\u0441\u043b\u0435\u0434\u0441\u0442\u0432\u0438\u044f\u043c\u0438.<\/p>\n<p>\u0415\u0441\u0442\u044c \u0431\u043e\u043b\u0435\u0435 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0435.<\/p>\n<h3>\u041f\u0440\u043e\u0435\u043a\u0442 \u00abButterfly\u00bb<\/h3>\n<p>\u0427\u0442\u043e \u0432\u044b\u00a0\u0437\u043d\u0430\u0435\u0442\u0435 \u043e\u00a0<s>\u0422\u0430\u0439\u043b\u0435\u0440\u0435 \u0414\u0435\u0440\u0434\u0435\u043d\u0435<\/s> \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0438 <a href=\"https:\/\/docs.oracle.com\/en\/java\/javase\/11\/docs\/api\/java.instrument\/java\/lang\/instrument\/Instrumentation.html\" rel=\"noopener noreferrer nofollow\">Java Agent<\/a>? <\/p>\n<p>\u0421\u043a\u043e\u0440\u0435\u0435 \u0432\u0441\u0435\u0433\u043e \u043d\u0438\u0447\u0435\u0433\u043e, \u043f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e \u044d\u0442\u043e \u043e\u0447\u0435\u043d\u044c \u0441\u043f\u0435\u0446\u0438\u0444\u0438\u0447\u043d\u0430\u044f \u0432\u0435\u0449\u044c, \u0440\u0435\u0434\u043a\u043e \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u0435\u043c\u0430\u044f \u0432\u00a0\u043e\u0431\u044b\u0447\u043d\u043e\u0439 \u043f\u043e\u0432\u0441\u0435\u0434\u043d\u0435\u0432\u043d\u043e\u0439 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0435:<\/p>\n<blockquote>\n<p>This class provides services needed to\u00a0instrument Java programming language code. Instrumentation is\u00a0the addition of\u00a0byte-codes to\u00a0methods for the purpose of\u00a0gathering data to\u00a0be\u00a0utilized by\u00a0tools. Since the changes are purely additive, these tools do\u00a0not modify application state or\u00a0behavior. Examples of\u00a0such benign tools include monitoring agents, profilers, coverage analyzers, and event loggers.<\/p>\n<\/blockquote>\n<p>\u041e\u0434\u043d\u0438\u043c \u0438\u0437\u00a0\u0432\u0430\u0440\u0438\u0430\u043d\u0442\u043e\u0432 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u044d\u0442\u043e\u0439 \u0437\u0430\u043c\u0435\u0447\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0438 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043f\u043e\u0434\u043c\u0435\u043d\u0430 <em>Java-\u043a\u043b\u0430\u0441\u0441\u043e\u0432 \u043d\u0430\u00a0\u043b\u0435\u0442\u0443 \u043d\u0430\u00a0\u0443\u0440\u043e\u0432\u043d\u0435 \u0431\u0430\u0439\u0442\u043a\u043e\u0434\u0430<\/em>, \u0430\u00a0\u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e\u0441\u0442\u044c\u044e \u0440\u0430\u0431\u043e\u0442\u044b\u00a0\u2014 \u0447\u0442\u043e \u0447\u0435\u0440\u0435\u0437 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a \u0442\u0430\u043a\u043e\u0433\u043e \u0430\u0433\u0435\u043d\u0442\u0430 \u043f\u0440\u043e\u0445\u043e\u0434\u044f\u0442 <em>\u0432\u0441\u0435<\/em> \u043f\u0440\u0438\u043a\u043b\u0430\u0434\u043d\u044b\u0435 \u043a\u043b\u0430\u0441\u0441\u044b, \u043d\u0435\u0432\u0437\u0438\u0440\u0430\u044f \u043d\u0430\u00a0\u0438\u0435\u0440\u0430\u0440\u0445\u0438\u044e ClassLoader-\u043e\u0432 \u043c \u0432\u043a\u043b\u044e\u0447\u0430\u044f \u0438\u0437\u043e\u043b\u044f\u0446\u0438\u044e WAR\/EAR \u0432\u00a0\u0441\u0435\u0440\u0432\u0435\u0440\u0430\u0445 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439.<\/p>\n<p>\u0427\u0442\u043e \u0434\u043b\u044f \u043d\u0430\u0448\u0435\u0439 \u0437\u0430\u0434\u0430\u0447\u0438 \u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442 \u0441\u043b\u0435\u0434\u0443\u0449\u0435\u0435: <\/p>\n<blockquote>\n<p>\u043c\u044b \u043d\u0435 \u0431\u0443\u0434\u0435\u043c \u0442\u0440\u043e\u0433\u0430\u0442\u044c \u043a\u043e\u0434 \u0441\u0430\u043c\u043e\u0433\u043e \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u043e\u0442\u0432\u0435\u0447\u0430\u044e\u0449\u0435\u0433\u043e \u0437\u0430 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0443 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438, \u043c\u044b \u0435\u0433\u043e \u043f\u0440\u043e\u0441\u0442\u043e <strong><em>\u043f\u043e\u0434\u043c\u0435\u043d\u0438\u043c<\/em><\/strong> \u043d\u0430 \u043b\u0435\u0442\u0443.<\/p>\n<\/blockquote>\n<p>\u041d\u043e\u00a0\u043f\u0440\u0435\u0436\u0434\u0435 \u0441\u0442\u043e\u0438\u0442 \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u0430\u0442\u044c \u043f\u0440\u043e \u0435\u0449\u0435 \u043e\u0434\u043d\u0443 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u044e, \u0435\u0449\u0435 \u043c\u0435\u043d\u0435\u0435 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u0443\u044e.<\/p>\n<p>\u0414\u0435\u043b\u043e \u0432\u00a0\u0442\u043e\u043c, \u0447\u0442\u043e\u00a0\u043d\u0430\u00a0\u0432\u0445\u043e\u0434 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0443 Java Agent \u043f\u0440\u0438\u0445\u043e\u0434\u0438\u0442 \u043e\u0434\u0438\u043d\u00a0\u043b\u0438\u0448\u044c \u043c\u0430\u0441\u0441\u0438\u0432 \u0431\u0430\u0439\u0442, \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0439 \u0431\u0430\u0439\u0442\u043a\u043e\u0434 \u043a\u043b\u0430\u0441\u0441\u0430. \u0414\u043b\u044f\u00a0\u0442\u043e\u0433\u043e \u0447\u0442\u043e\u0431\u044b \u0438\u0437\u043c\u0435\u043d\u0438\u0442\u044c \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u0443\u044e \u043b\u043e\u0433\u0438\u043a\u0443 \u0432\u043d\u0443\u0442\u0440\u0438 \u043a\u043b\u0430\u0441\u0441\u0430, \u0435\u0433\u043e \u043f\u0440\u0438\u0434\u0435\u0442\u0441\u044f \u0441\u043d\u0430\u0447\u0430\u043b\u0430 \u0440\u0430\u0437\u043e\u0431\u0440\u0430\u0442\u044c, \u0438\u0437\u043c\u0435\u043d\u0438\u0442\u044c \u043a\u043e\u0434 \u0432\u043d\u0443\u0442\u0440\u0438 (!) \u0438 \u043f\u043e\u0442\u043e\u043c \u0441\u043e\u0431\u0440\u0430\u0442\u044c \u043e\u0431\u0440\u0430\u0442\u043d\u043e \u0432\u00a0\u043c\u0430\u0441\u0441\u0438\u0432 \u0431\u0430\u0439\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0443\u0436\u0435 \u0443\u0439\u0434\u0435\u0442 \u043d\u0430\u00a0\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u0432\u00a0\u0432\u0438\u0440\u0442\u0443\u0430\u043b\u044c\u043d\u0443\u044e \u043c\u0430\u0448\u0438\u043d\u0443.<\/p>\n<blockquote>\n<p>\u0414\u043b\u044f \u0437\u0430\u0434\u0430\u0447 \u0442\u0430\u043a\u043e\u0433\u043e \u0440\u0430\u0441\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0441 \u043f\u0440\u0430\u0432\u043a\u0430\u043c\u0438 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0442 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0435 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438, \u0441\u0430\u043c\u044b\u0435 \u043c\u043e\u0449\u043d\u044b\u0435 \u0438\u0437 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u044d\u0442\u043e <a href=\"https:\/\/bytebuddy.net\/#\/\" rel=\"noopener noreferrer nofollow\">Byte Buddy<\/a> \u0438 <a href=\"https:\/\/www.javassist.org\/\" rel=\"noopener noreferrer nofollow\">Javassist<\/a>. <\/p>\n<\/blockquote>\n<p>\u0412\u00a0\u0440\u0430\u043c\u043a\u0430\u0445 \u0434\u0430\u043d\u043d\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0438 \u043d\u0435\u00a0\u043f\u043e\u043b\u0443\u0447\u0438\u0442\u0441\u044f \u0440\u0430\u0441\u043a\u0440\u044b\u0442\u044c \u044d\u0442\u0443 \u0442\u0435\u043c\u0443 \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e, \u043e\u0442\u043c\u0435\u0447\u0443\u00a0\u043b\u0438\u0448\u044c \u0447\u0442\u043e\u00a0Byte Buddy \u0431\u043e\u043b\u0435\u0435 \u043d\u043e\u0432\u0430\u044f, \u0430\u00a0Javassist\u00a0\u2014 \u0431\u043e\u043b\u0435\u0435 \u0441\u0442\u0430\u0440\u0430\u044f. <\/p>\n<p>\u0412\u00a0\u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435 \u043c\u044b \u0431\u0443\u0434\u0435\u043c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c Javassist <s>\u0440\u0430\u0434\u0438 \u0443\u0432\u0430\u0436\u0435\u043d\u0438\u044f \u043a\u00a0\u0434\u0443\u0445\u0443 \u043f\u0440\u0435\u0434\u043a\u043e\u0432<\/s> \u043f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e\u00a0\u043a\u043e\u0434 \u043d\u0430\u00a0\u043d\u0435\u043c \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442\u0441\u044f \u0447\u0443\u0442\u044c \u043c\u0435\u043d\u044c\u0448\u0435.<\/p>\n<h3>\u041a\u043e\u0434<\/h3>\n<p>\u0412\u0435\u0441\u044c \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u043e\u0434 \u043f\u0440\u043e\u0435\u043a\u0442\u0430 \u0432\u044b\u043b\u043e\u0436\u0435\u043d \u043d\u0430 <a href=\"https:\/\/github.com\/alex0x08\/butterfly\/tree\/main\" rel=\"noopener noreferrer nofollow\">Github<\/a>, \u0434\u043b\u044f \u0441\u0431\u043e\u0440\u043a\u0438 \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u043e\u0431\u044b\u0447\u043d\u043e\u0433\u043e Apache Maven:<\/p>\n<pre><code class=\"bash\">mvn clean package<\/code><\/pre>\n<p>\u041f\u043e\u0441\u043b\u0435 \u0447\u0435\u0433\u043e \u0432 \u043f\u0430\u043f\u043a\u0435 target \u043f\u043e\u044f\u0432\u0438\u0442\u0441\u044f butterfly.jar &#8212; \u043d\u0430\u0448 \u0430\u0433\u0435\u043d\u0442 <s>\u0437\u043b\u0430<\/s>, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0443\u043a\u0430\u0437\u0430\u0442\u044c \u043f\u0440\u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0435 \u0432\u0430\u0448\u0435\u0433\u043e \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f:<\/p>\n<pre><code class=\"bash\">java -javaagent:&lt;\/full\/path\/to\/butterfly.jar> -jar your-spring-boot-app.jar<\/code><\/pre>\n<p>\u041f\u0440\u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0435, \u0432 \u0441\u043b\u0443\u0447\u0430\u0435 \u0443\u0441\u043f\u0435\u0448\u043d\u043e\u0439 \u043f\u043e\u0434\u043c\u0435\u043d\u044b \u043b\u043e\u0433\u0438\u043a\u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u043f\u0430\u0440\u043e\u043b\u0435\u0439 \u043f\u043e\u044f\u0432\u0438\u0442\u0441\u044f \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0435:<\/p>\n<pre><code>altered method: matches<\/code><\/pre>\n<p>\u0418\u00a0\u0432\u0441\u0435, \u0434\u0430\u043b\u044c\u0448\u0435 \u043c\u043e\u0436\u043d\u043e \u0431\u0443\u0434\u0435\u0442 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u0441\u00a0\u043b\u044e\u0431\u044b\u043c \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u044b\u043c \u043d\u0430\u0431\u043e\u0440\u043e\u043c \u0441\u0438\u043c\u0432\u043e\u043b\u043e\u0432 \u0432\u043c\u0435\u0441\u0442\u043e \u043f\u0430\u0440\u043e\u043b\u044f. <\/p>\n<p>\u041f\u0440\u0438 \u0432\u044b\u0437\u043e\u0432\u0435 \u043f\u043e\u0434\u043c\u0435\u043d\u0435\u043d\u043d\u043e\u0433\u043e \u043c\u0435\u0442\u043e\u0434\u0430 \u0431\u0443\u0434\u0435\u0442 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0435:<\/p>\n<pre><code>Bypassing password check..<\/code><\/pre>\n<p>\u0422\u0430\u043a \u0447\u0442\u043e \u0441\u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u043f\u043e\u0434\u043c\u0435\u043d\u0430 \u0438\u043b\u0438 \u043d\u0435\u0442 \u0431\u0443\u0434\u0435\u0442 \u0432\u0438\u0434\u043d\u043e \u0441\u0440\u0430\u0437\u0443. <\/p>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c \u0440\u0430\u0437\u0431\u0435\u0440\u0435\u043c \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u043e\u0434:<\/p>\n<pre><code class=\"java\">package com.Ox08.butterfly;  import javassist.ClassPool; import javassist.CtClass; import javassist.CtMethod; import javassist.runtime.Desc; import javassist.scopedpool.ScopedClassPoolFactoryImpl; import javassist.scopedpool.ScopedClassPoolRepositoryImpl; import java.io.ByteArrayInputStream; import java.lang.instrument.ClassFileTransformer; import java.lang.instrument.Instrumentation; import java.security.ProtectionDomain; \/**  * This class allows to bypass password validation for Spring Security-based apps and  * for Atlassian Jira  *  * @author Alex Chernyshev &lt;alex3.145@gmail.com>  * @since 1.0  *  *\/ public class BypassPasswordChecks {     public static void premain(String agentArgs, Instrumentation instrumentation) {         System.out.println(\"Starting butterfly..\");         \/\/Sets the useContextClassLoader =true to get any class type to be correctly resolved with correct OSGI module         Desc.useContextClassLoader = true;         instrumentation.addTransformer(new InterceptingClassTransformer());     }     static class InterceptingClassTransformer implements ClassFileTransformer {         private static final String BYPASS_PAYLOAD = \"if (true) { System.out.println(\\\"Bypassing password check..\\\"); return true; }\";         private final ScopedClassPoolFactoryImpl scopedClassPoolFactory = new ScopedClassPoolFactoryImpl();         private final ClassPool rootPool = ClassPool.getDefault();         @Override         public byte[] transform(ClassLoader loader, String className, Class&lt;?> classBeingRedefined,                                 ProtectionDomain protectionDomain, byte[] classfileBuffer) {             final boolean foundSpring = checkIfSpringSecurityPasswordEncoder(className),                     foundAtlassian = checkIfAtlassianSecurityPasswordEncoder(className);             if (!foundSpring &amp;&amp; !foundAtlassian) {                 return classfileBuffer;             }             System.out.printf(\"processing class %s%n\", className);             try {                 final CtClass ctClass = scopedClassPoolFactory.create(loader, rootPool,                                 ScopedClassPoolRepositoryImpl.getInstance())                         .makeClass(new ByteArrayInputStream(classfileBuffer));                 \/\/ \u043f\u0440\u043e\u043f\u0443\u0441\u043a\u0430\u0435\u043c \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u044b \u0438 \u0432\u0441\u044f\u043a\u0443\u044e \u0445\u0435\u0440\u044c                 if (ctClass.isInterface() || ctClass.isAnnotation()                         || ctClass.isPrimitive() || ctClass.isArray() || ctClass.isEnum()) {                     return classfileBuffer;                 }                 for (CtMethod method : ctClass.getDeclaredMethods()) {                     if ((foundAtlassian &amp;&amp; method.getName().equals(\"isValidPassword\"))                             || (foundSpring &amp;&amp; method.getName().equals(\"matches\"))) {                         method.insertBefore(BYPASS_PAYLOAD);                         System.out.printf(\"altered method: %s%n\", <\/code><\/pre>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-379261","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/379261","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=379261"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/379261\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=379261"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=379261"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=379261"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}