java安全
文章平均质量分 96
记录java安全的知识
M0no10gue
ctf比赛题目的复现可以去我的刷题记录中看,不再单独写
展开
-
JNDI注入
JNDI是java命名与目录接口(java Naming and Directory Interface),类似于一个字典,将一些服务与逻辑名称绑定。当使用JNDI,应用程序可以通过逻辑名称而不是物理位置来查找和访问各种资源,这有助于提高应用程序的可移植性和灵活性。JNDI 体系结构由 API 和服务提供者接口 (SPI) 组成。Java 应用程序使用 JNDI API 来访问各种命名和目录服务。SPI 允许透明地插入各种命名和目录服务,从而允许使用 JNDI API 的 Java 应用程序访问其服务。原创 2024-03-20 22:46:29 · 1585 阅读 · 1 评论 -
从cc链认识java反序列化
基于commons Collection apache组织发布的开源库,里面主要对集合的增强以及扩展类,被广泛使用。大致概括cc链,就是有反序列化入口,同时有cc库的情况下,如何进行rce或者文件读取。原创 2023-09-30 15:46:52 · 179 阅读 · 0 评论 -
java反序列化RMI篇
RMI代表远程方法调用(Remote Method Invocation),是Java编程语言中用于实现远程通信的机制。它允许在不同Java虚拟机之间的对象之间进行通信和交互,使得可以在网络上的不同计算机上调用远程对象的方法,就好像是在本地调用一样。而在通信的过程中,就存在序列化和反序列化的过程,如果服务端添加了存在反序列化漏洞的依赖,就可以利用。原创 2024-02-24 00:47:54 · 1057 阅读 · 0 评论 -
java反序列化shiro篇
Shiro是一个基于Java的强大且易于使用的开源安全框架,用于身份验证、授权、加密和会话管理。Shiro的设计目标是为应用程序提供简单但强大的安全性解决方案,使开发人员能够轻松地集成各种安全功能到他们的应用程序中。身份验证(Authentication):验证用户的身份是Shiro最基本的功能之一。Shiro支持多种身份验证方式,包括用户名密码验证、基于角色的验证、基于权限的验证等。授权(Authorization):授权是确定哪些用户可以访问应用程序中的哪些资源的过程。原创 2024-02-18 00:42:11 · 735 阅读 · 0 评论