- Java安全-反序列化-原生序列化类函数
- Java安全-SpringBoot框架-泄漏&CVE
`#Java安全-反序列化-原生序列化类函数
序列化是将Java对象转换成字节流的过程。而反序列化是将字节流转换成Java对象的过程,java序列化的数据一般会以标记(ac ed 00 05)开头,base64编码的特征为rO0AB,JAVA常见的序列化和反序列化的方法有JAVA 原生序列化和JSON 类(fastjson、jackson)序列化等。
0、黑盒发现(流量捕获)
0、白盒发现(特征类接口函数)
1、原生序列化类函数:
-SnakeYaml:完整的YAML1.1规范Processor,支持Java对象的序列化/反序列化
-XMLDecoder:xml语言格式序列化类函数接口
-ObjectInputStream.readObject():任何类如果想要序列化必须实现java.io.Serializable接口
2、利用项目:
-Yakit https://yaklang.com/
-https://github.com/frohoff/ysoserial
-https://github.com/NotSoSecure/SerializedPayloadGenerator
#Java安全-SpringBoot框架-泄漏&CVE
SpringBoot Actuator模块提供了生产级别的功能,比如健康检查,审计,指标收集,HTTP跟踪等,帮助我们监控和管理Spring Boot应用。
0、检测清单:
https://github.com/LandGrey/SpringBootVulExploit
1、黑盒发现(人工识别,BP插件)
https://github.com/API-Security/APIKit
1、白盒发现(pom.xml,引用库)
<dependency>
<groupId>org.springframework.boot</groupId>
## 最后
**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**
**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**
![img](https://img-blog.csdnimg.cn/img_convert/00d654921536644dfa8379fce6a22a48.png)
![img](https://img-blog.csdnimg.cn/img_convert/43ac00b20e92e665a6b7648fb27cda2d.png)
![img](https://img-blog.csdnimg.cn/img_convert/41451ea096505c3e5e422a5f4535dbb1.png)
![img](https://img-blog.csdnimg.cn/img_convert/7da527326462cb8f22d2d9dbedb923f7.png)
![img](https://img-blog.csdnimg.cn/img_convert/e1ed8dd66fd708d50f902be10943d45d.png)
**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**
[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)
**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**
比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**