摘要：Java安全之Fastjson反序列化漏洞分析 首发：先知论坛 0x00 前言 在前面的RMI和JNDI注入学习里面为本次的Fastjson打了一个比较好的基础。利于后面的漏洞分析。 0x01 Fastjson使用 在分析漏洞前，还需要学习一些Fastjson库的简单使用。 Fastjson概述 F 阅读全文

摘要：Java安全之log4j反序列化漏洞分析 0x00 前言 前段时间在看某个cms代码的时候，发现log4j组件版本存在漏洞，并且开启了端口，但web站点是nginx反向代理的，而在外网并没有开放到该端口，所以并没有利用成功。但该漏洞遇到的比较少，就算一些cms中log4j组件版本存在漏洞，但是该漏洞 阅读全文

摘要：Java安全之SnakeYaml反序列化分析 0x00 前言 偶然间看到SnakeYaml的资料感觉挺有意思，发现SnakeYaml也存在反序列化利用的问题。借此来分析一波。 0x01 SnakeYaml 使用 SnakeYaml 简介 SnakeYaml是用来解析yaml的格式，可用于Java对象 阅读全文