反序列化:把字节序列恢复为对象的过程,即把可以存储或传输的数据转换为对象的过程。反序列化漏洞首次出现在2015。虽然漏洞较新,但利用十分热门,主要原因还是太过信任客户端提交的数据,容易被开发者忽略,该漏洞一般都可执行任意命令或代码,造成的影响较大。 阅读全文
前言:记录一篇自己入门java安全的故事,捋一下思路,轻量知识 ,重在调试 ! . 这篇文章四个部分: 引入篇:整理一下CVE-2022-22965漏洞的来龙去脉 基础篇:回顾Java中一些基础的内容 调试篇:阅读Spring MVC部分源码 分析篇:分析CVE-2010-1622、CVE-2022 阅读全文
在JDK1.5版本开始,Java增加了Instrumentation(Java Agent API)和JVMTI(JVM Tool Interface)功能,该功能可以实现JVM再加载某个class文件对其字节码进行修改,也可以对已经加载的字节码进行一个重新的加载。 阅读全文
JNDI(Java Naming and Directory Interface,Java命名和目录接口)是SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,由管理者将JNDI API映射为特定的命名服务和目录系统,使得Java应用程序可以和这些命名服务和目录服务之间进行交互。 阅读全文
SpringBootVulExploit 是Spring Boot漏洞Check list,但在真正的环境中进行漏洞利用还是有一段距离的,因此衍生出了SpringBootExploit工具。本文是对该Check list到内存马探索之路的记录。再此过程中学到了很多知识,收获了很多,感谢神父hl0rey对我指导,才有工具诞生。 阅读全文
反射是动态获取信息及动态调用对象方法的方式,Java本身是一种静态语言,而经过反射后让Java有了一定的动态性,变为一种“准动态语言”。 阅读全文
如果遇到一些APP出现证书报错或者抓不到包的情况该怎么办,读过本篇文章之后,相信你会拥有一些新的解决方案和思考。 阅读全文
一觉醒来,发现今天并没有发生改变,于是准备找朋友沟通一下感情。 阅读全文
直接审计tp的话应该会很有难度,不妨先了解一些tp内置规则和用法,便于在后续的审计中更好的理解代码含义。 阅读全文
不同服务器请求内容的标准不同,对同一段tcp内容,前后端服务器获取到的http请求内容会有一定差异,而这个差异就造成了HTTP请求走私。 阅读全文
