随笔分类 - Java安全
这个分类是B站up主(https://space.bilibili.com/2142877265)的视频学习笔记
摘要:JDK版本为jdk8u65 commons-collections版本为3.2.1 InvokerTransformer CC1的漏洞点在InvokerTransformer,InvokerTransformer下有一个transform方法: public Object transform(Obj
阅读全文
摘要:原理 Java URLDNS链是通过readObject反序列化+DNS查询来确认反序列化利用点的存在。该利用链具有如下特点: [1] 只能发起 DNS 请求,不能进行其它利用。 [2] 不限制 jdk 版本,使用 Java 内置类,对第三方依赖没有要求。 [3] 目标无回显,可以通过 DNS 请求
阅读全文
摘要:序列化与反序列化 Java序列化是指把Java对象转换为字节序列的过程;而Java反序列化是指把字节序列恢复为Java对象的过程。 为什么需要序列化? 序列化分为两大部分:序列化和反序列化。序列化是这个过程的第一部分,将数据分解成字节流,以便存储在文件中或在网络上传输。反序列化就是打开字节流并重构对
阅读全文