框架漏洞
文章平均质量分 73
一句话木马
从一个小白出发,记录我的成长历程,分享学习网安的经历。
展开
-
Fastjson反序列化漏洞
一、fastjson简介fastjson是java的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,parseObject 方法则反过来将 JSON 字符串转换成对象。二、fastjson反序列化漏洞原理在反序列化的时候,会进入parseField方法,进原创 2022-03-31 22:52:08 · 32355 阅读 · 12 评论 -
shiro反序列化漏洞的原理和复现
一、shiro简介Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理。Shiro首要的和最重要的目标就是容易使用并且容易理解。二、shiro的身份认证工作流程通过前端传入的值, 获取rememberMe cookie base64加密 AES加密 (对称加解密) 反序列化三、shiro反序列化漏洞原理AES加密的密钥Key被硬编码在代码里,意味着每个人通过源代码都能拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES原创 2022-03-31 22:51:42 · 14928 阅读 · 3 评论