摘要:
log4j2 JNDI注入原理 log4j2中的JNDI注入 log4j在 \(2.0\) - $2.14.1$版本中,存在jndi注入问题。 配置 首先使用maven导入log4j包并通过log4j2.xml进行日志服务配置。 导入maven pom.xml 配置如下(如果是spring、myba 阅读全文
摘要:
RMI RMI 协议的全称为 Remote Method Invocation (远程方法调用)协议。 RMI 应用程序通常包含两个独立的程序,一个服务器和一个客户端。典型的服务器程序会创建一些远程对象,使对这些对象的引用可访问,并等待客户端调用这些对象上的方法。典型的客户端程序获取对服务器上一个或 阅读全文
摘要:
FastJSON checkAutoType 绕过 本文章全程参考:Fastjson 反序列化历史漏洞分析 并做了一点补充。 在maven仓库中,FastJSON vulnerability 只被标注到 \(1.2.24\) 版本,也即是不对类型进行检查的最后一个版本。但本身还是能够找到很多可以被利 阅读全文
摘要:
Hash 长度扩展攻击 区块链课程 消息摘要算法-长度扩展攻击 笔记 length extension attack 假设有一段服务器代码(逻辑): $auth = false; if (isset($_COOKIE["auth"])) { $auth = unserialize($_COOKIE[ 阅读全文