摘要:
说明 此篇主要记录在Java 中使用js 的风险,以及使用sandbox来解决可能出现的rce问题。 1、ScriptEngine的使用 从JDK6开始,java就嵌入了对脚本的支持,这里的脚本指的是但非局限于JS这样的非java语言,当时使用的脚本执行引擎是基于Mozilla 的Rhino。该引擎 阅读全文
摘要:
PS:首发自:https://moonsec.top/articles/79 说明 用于学习过程中的记录~ 1、前言 1.1 序列化与反序列化概念 序列化: 将数据结构或对象转换成二进制串的过程 反序列化:将在序列化过程中所生成的二进制串转换成数据结构或者对象的过程 1.2 使用场景 当你想把的内存 阅读全文
摘要:
PS:首发自:https://moonsec.top/articles/82 说明 此篇文章主要记录Activiti流程引擎在使用过程中,使用不当会造成的相关问题以及RCE方法,此篇仅做安全研究用,无用相关的攻击,否则后果自负。 1.Activiti说明 1.1 概念 工作流。通过计算机对业务流程自 阅读全文