随笔分类 -  框架

框架学习心得
JNDI 高版本JDK 限制绕过
摘要:JNDI 高版本JDK 限制绕过 JNDI注入的限制以及绕过方式 RMI 方式实现的JNDI大体分为以下步骤: 客户端通过RMI方式获取 ReferenceWarpper_Stub ,通过远程调用 getReference 获取 Reference 对象。 客户端通过 Reference 获取 Ob 阅读全文
posted @ 2022-04-03 22:45 NIShoushun 阅读(254) 评论(0) 推荐(0) 编辑
log4j JNDI注入原理
摘要:log4j2 JNDI注入原理 log4j2中的JNDI注入 log4j在 2.0 - 2.14.1版本中,存在jndi注入问题。 配置 首先使用maven导入log4j包并通过log4j2.xml进行日志服务配置。 导入maven pom.xml 配置如下(如果是spring、myba 阅读全文
posted @ 2022-03-30 12:58 NIShoushun 阅读(903) 评论(0) 推荐(0) 编辑
FastJSON checkAutoType 绕过
摘要:FastJSON checkAutoType 绕过 本文章全程参考:Fastjson 反序列化历史漏洞分析 并做了一点补充。 在maven仓库中,FastJSON vulnerability 只被标注到 1.2.24 版本,也即是不对类型进行检查的最后一个版本。但本身还是能够找到很多可以被利 阅读全文
posted @ 2022-03-30 00:42 NIShoushun 阅读(844) 评论(0) 推荐(0) 编辑
Spring-AOP的理解与简单使用
摘要:Spring-AOP的简单使用 1. Spring-AOP 1.1 AOP概念 (1)概念 Aspect Oriented Program(面向切面编程) AOP思想:将功能实现的特定核心方法与其前后执行的一套通用的程序执行流程模板分离开来,实现核心业务的开发与相应的前置处理与结果处理的后置业务的开 阅读全文
posted @ 2020-06-09 15:17 NIShoushun 阅读(341) 评论(0) 推荐(0) 编辑
Commons Collections 利用链
摘要:Commons Collections 利用链 CC链的利用实际上就是 Commons Collections 中的装饰器类,其中会包含 Transformer ;在其它类使用某些包装类的方法时,包含的 transformer 会对其进行了一次转换 。而这个 Transformer 中的一些实现使用 阅读全文
posted @ 2020-04-17 23:40 NIShoushun 阅读(523) 评论(0) 推荐(0) 编辑
Fast JSON 反序列化安全
摘要:Fast JSON 反序列化安全漏洞 FastJSON 反序列化安全问题 fastjson 在序列化时,可采用 Feature.WirteClassName 来额外生成一个键值对: "@type":"ClassName"; 当 fastjson 在反序列化时,在版本 1.27 之前,会自动读 阅读全文
posted @ 2020-04-06 20:50 NIShoushun 阅读(822) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示