Java安全
文章平均质量分 95
!!!!!!!!!!!!!!!!.
加油每周至少一更
展开
-
Shiro框架漏洞详解及复现
Shiro是Apache的一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理。借助Shiro易于理解的API,用户可以快速轻松地保护任何应用程序----从最小的移动应用程序到最大的web和企业应用程序。Shiro是一个Java的安全框架,用于执行身份验证、授权、密码和会话验证。原创 2024-03-07 11:03:36 · 1505 阅读 · 1 评论 -
Tomcat漏洞详解
Tomcat是一种轻量级的web服务器,主要负责运行jsp和Servlet具有任意文件写入漏洞:主要影响7.0-7.8左右,原因是因为配置不当问题(conf/web.xml文件的readonly参数定义为false),导致可以使用PUT方法进行任意文件上传。jsp绕过方法有斜杠绕过、空格绕过和::$DATA绕过(后两者都需要在Windows下)具有文件包含漏洞:主要影响6和8版本,7和9版本有少数;原因是因为AJP协议存在缺陷而导致攻击者可以构造任意参数来进行任意文件包含和读取文件。原创 2024-03-06 22:19:12 · 1468 阅读 · 1 评论 -
Log4j2漏洞详解(自学)
Log4j2是Apache下的流行的Java日志框架,用于记录应用程序的日志信息并进行日志管理。它提供了高度可配置的日志输出,可以将日志信息输出到控制台、文件、数据库等多种目标,被应用于业务系统开发,用于记录程序输入输出日志信息。Log4j2是Apache的日志框架,用来记录和管理日志信息的。Log4j2漏洞的原理是因为默认支持解析LDAP/RMI协议,且使用了占位符如{},并会解析里面的内容进行替换,所以攻击者就可以利用这一点构建特殊的恶意的占位符来进行攻击。原创 2024-03-05 11:26:21 · 1065 阅读 · 1 评论 -
Java反序列化漏洞
序列化是将对象的状态信息转换成可以存储或传输的形式的过程。在序列化期间,对象将当前的状态写入到临时或持久性的存储区,简单点说就是将状态对象保存为字符串。反序列化就是把序列化之后的字符串在转化为对象的过程。虽然Java序列化有默认机制,但也支持用户自定义。例如对象的一些成员变量没必要序列化保存或传输,就可以不序列化,或者是对一些敏感字段进行处理等。而自定义序列化就是重写writeObject与readObject。例如:@Serial//readObject反序列化函数重写。原创 2024-02-27 10:43:20 · 825 阅读 · 0 评论 -
Fastjson反序列化漏洞(自学)
Fastjson是Java的一个库,可以将Java对象转化为JSON格式的字符串,也可以将JSON格式的字符串转化为Java对象。Fastjson调用toJSONString()方法即可将对象转换成JSON字符串,parseObject()方法将JSON字符串转换成对象。Fastjson是Java的一个库,调用toJSONString方法将对象转换成字符串,调用parseObject方法将字符串转换为对象。原创 2024-03-04 20:47:35 · 1000 阅读 · 0 评论 -
JNDI注入详解(自学)
Jndi叫Java命名和目录的接口,可以类比为一个字典(就比如用一个目录路径去定义一个文件,目录路径和文件就是键值)。在Java应用中除了以常规方式使用名称服务(比如使用DNS解析域名) ,另一个常见的用法是使用目录服务作为对象存储的系统来存储和获取Java对象(比如使用打印机,在目录服务查找打印机然后获得一个打印机对象)。Jndi包含在Java SE平台。要使用Jndi,您必须拥有Jndi类和一个或多个服务提供者(SPI)。JDK包含以下命名/目录服务的服务提供者:轻量级目录访问协议(LDAP。原创 2024-03-03 21:47:44 · 1038 阅读 · 0 评论