![](https://img-blog.csdnimg.cn/20201014180756724.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
代码审计
文章平均质量分 92
风炫安全
ID:风炫 专注于:网络安全、渗透测试、编程开发、安全开发。
公众号:风炫安全
博客:https://evalshell.com
展开
-
Java代码审计系列之 JNDI注入
Java代码审计系列之 JNDI注入0x01 前言在Java反序列化漏洞挖掘或利用的时候经常会遇到RMI、JNDI、JRMP这些概念,其中RMI是一个基于序列化的Java远程方法调用机制。作为一个常见的反序列化入口,它和反序列化漏洞有着千丝万缕的联系。除了直接攻击RMI服务接口外(比如:CVE-2017-3241),我们在构造反序列化漏洞利用时也可以结合RMI方便的实现远程代码执行。我们在之前的课程中说到过动态类的加载,而jndi注入就是利用动态类的加载来完成攻击的,在这之前,我们先来了解一下jndi原创 2021-06-08 12:56:39 · 1606 阅读 · 1 评论 -
2021-05-12
Java代码审计系列第二课 案例Apache Commons Collections反序列化漏洞讲解简述Apache Commons Collections是Apache Commons的组件,它们是从Java API派生而来的,并为Java语言提供了组件体系结构。 Commons-Collections试图通过提供新的接口,实现和实用程序来构建JDK类。Apache Commons包应该是Java中使用最广发的工具包,很多框架都依赖于这组工具包中的一部分,它提供了我们常用的一些编程需要,但是JDK没原创 2021-05-12 14:36:33 · 128 阅读 · 0 评论 -
Java代码审计系列第一课 反射机制
Java代码审计系列第一课 反射机制简述这次结尾有彩蛋哦,请记得查看!自08年Web2.0时代开始之后,国内Web开发的主要语言从PHP逐渐转移到了Java,截止到今天,以Java为主要开发语言的公司越来越多,是现在大中型公司开发的主流编程语言。但是最近几年,Java的安全事件也是频频发生,Struts2,Weblogic,JBoss,Jenkins等等框架的反序列化漏洞层出不穷,国内对于Java安全也是越来越重视,而目前国内研究Java安全系统化的教程还比较少见,那么今天我就来分享一些自己的拙见,如原创 2021-05-12 14:33:55 · 201 阅读 · 2 评论