代码审计
文章平均质量分 64
jameson_
这个作者很懒,什么都没留下…
展开
-
Java代码审计之文件包含
事件今天报一个文件包含,正常url:http://xx.xx.xx.com/view=f01 payload : http://xx.xx.xx.com/view=../../../../../../../../etc/passwd%00看了一下,问题代码如下。private String getFile(String tagId) { String path = getClass原创 2017-06-12 15:30:16 · 2328 阅读 · 0 评论 -
序列化和反序列化漏洞的简单理解
1 背景2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用,实现远程代码执行。然而事实上,博客作者并不是漏洞发现者。博客中提到,早在2015年的1月28号,Gabriel转载 2017-06-28 09:51:45 · 27751 阅读 · 0 评论