代码审计
夏日清1
不再更新
展开
-
逆向学习fastjson反序列化始
前言text:json文本数据len:json文本数据长度token:代表解析到的这一段数据的类型ch:当前读取到的字符bp:当前字符索引sbuf:正在解析段的数据,char数组sp:sbuf最后一个数据的索引hasSpecial=false:需要初始化或者扩容sbuf参考http://www.b1ue.cn/archives/184.html...原创 2020-07-26 16:09:26 · 7554 阅读 · 0 评论 -
Java反序列化回显解决方案
于无常处知有情,于有情处知众生...............学习无止境,努力就完事。原创 2020-06-12 08:36:46 · 10022 阅读 · 0 评论 -
漫谈Commons-Collections反序列化
Java组件Commons-Collections被广泛用于各大系统中,在几年前的被爆出反序列化漏洞,从此打开了Java安全的大门。全网最易懂的反序列化分析文章,花了大量的流程图帮助理解。原创 2020-06-02 22:20:27 · 10233 阅读 · 1 评论 -
漫谈Java反序列化
Java的反序列化漏洞探索出了Java安全的新纪元。开发人员为什么要反序列化呢?原创 2020-06-02 22:20:13 · 5249 阅读 · 0 评论 -
从安全角度谈Java反射机制--前章
从安全角度谈Java反射机制第二章,从代码执行角度剖析Java反射机制。原创 2020-05-13 10:27:49 · 6604 阅读 · 0 评论 -
从安全角度谈Java反射机制--序章
从安全角度谈Java反射机制第一篇,一共三篇由浅入深,一点点剖析Java的反射机制。原创 2020-05-13 10:27:11 · 4449 阅读 · 0 评论 -
从安全角度谈Java反射机制--终章
从安全角度谈Java反射机制,深入了解SSTI的payload的构造方法。原创 2020-05-13 10:28:21 · 4531 阅读 · 0 评论 -
小楼昨夜又春风,你知ysoserial-Gadget-URLDNS多少?
小楼昨夜又春风,你知ysoserial-Gadget-URLDNS多少? 你真的懂ysoserial其中的Gadget-URLDNS了吗?你确定吗?百分之百?不确定,还不来看看?原创 2020-05-13 08:47:58 · 3670 阅读 · 0 评论 -
白头搔更短,SSTI惹人心!
万字长文带你走入SSTI的世界,如果你是一名老司机也不要发过这篇文章,里面或许有你不知道的东西!原创 2020-05-13 08:46:35 · 5508 阅读 · 0 评论 -
春眠不觉晓,RCE知多少?
一篇文章带你入门Java代码审计之RCE简单分析Spring Boot Actuators to RCE复现和CVE-2020-8840 FasterXML/jackson-databind 远程代码执行漏洞复现带你入门Java代码审计原创 2020-05-13 08:46:47 · 5747 阅读 · 0 评论 -
一篇文章读懂Java代码审计之XXE
前言 学习总结Java审计过程中笔记,审计方法。阅读要求:有简单Java代码基础,了解漏洞原理。漏洞简介 简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。有回显 不说废话,先看效果,成功读取文本内容。 代码分析漏洞成因:public String xxeDo...原创 2020-05-13 08:48:38 · 10176 阅读 · 2 评论