关注
分享
ZavaSec
大家好,我是青青草原羊真香(ZavaSec),曾是天坑材料专业的本硕,25岁毕业后转行后端失败稀里糊涂进了网安,目前在一家头部厂商担任安全攻防服务工程师,从一个天坑跨越到了网络的深渊。接下来,我将分享我在转行学习过程中的经验以及在安全领域不断学习的心路历程。也欢迎各位师傅和我一起探索网络攻防技术,分享经验和见解,共同成长!
展开
-
老生常谈的fastjson安全问题,从实战深入反序列化漏洞原理
反序列化是java安全er避不开的技能点,也是非常难的一个点。这里我就先从我实战中遇到最多也是自己最熟悉的fastjson开始,这个漏洞老生长谈了,不过只要遇到就真是一个很好的点了。这里我先从效果开始再转战到原理,因为如果不懂代码,上来就分析代码就会让人望而却步。直接从漏洞利用开始,溯源到原理反倒是我这种非安全研究er的最好学习方式。原创 2023-06-20 10:58:10 · 2323 阅读 · 1 评论 -
深入fastjson源码命令执行调试
本文给出一份fastjson在调试命令执行时的底层过程展现。原创 2023-06-28 15:21:12 · 373 阅读 · 1 评论 -
代理——java实现
对java的三种代理模式的总结原创 2023-06-17 23:06:35 · 448 阅读 · 1 评论 -
利用BCEL打fastjson直接burp回显getshell
fastjson我曾经写过漏洞的原理,但是公网遇到的漏洞越来越少,大多都是在内网的环境,内网里没办法使用dnslog去探测回显。这里学习一下用bcel链直接在bp中产生回显进而getshell。原创 2023-08-03 11:09:00 · 1251 阅读 · 0 评论 -
java反射探讨
反射是 Java 的特征之⼀,C/C++语⾔中不存在反射。通过反射,我们可以在运⾏时获得程序或程序集中每⼀个类型的成员和成员的信息。通过 Java 反射机制 , 可以动态的创建对象并调⽤其⽅法和属性,这也就使得反射的⽤途很⼴泛,在开发过程中使⽤Eclipse、IDEA等开发⼯具时,当我们输⼊⼀个对象或类并想调⽤它的属性或⽅法时,编译器会⾃动列出它的属性或⽅法,这是通过反射实现的;再如,JavaBean和jsp之间的调⽤也是通过反射实现的。原创 2023-09-07 18:33:27 · 46 阅读 · 0 评论