Java 安全
文章平均质量分 96
有价值炮灰
https://evilpan.com/
展开
-
Java 应用安全之 JEB Floating License 绕过
JEB是一个逆向工程工具,主要用于 Android APK 的逆向分析,针对 smali 字节码反编译的功能类似于 JADX,但是也支持对 SO 等二进制程序的逆向分析。原创 2024-05-06 07:30:00 · 765 阅读 · 0 评论 -
初探 Struts2 框架安全
最近分析 confluence 的漏洞,发现是基于 Struts 框架的,其中有很多相关知识点并不了解,因此专门来学习一下 Struts 2原创 2023-11-02 08:00:00 · 175 阅读 · 0 评论 -
URL 解析与鉴权中的陷阱 —— Spring 篇
相比于传统的 JavaEE Web 应用,Spring 基于全匹配的 DispatcherServlet 实现了一套应用层的路由方案,并且在依赖注入的加持下使得业务开发和配置变得更加方便。这一套路由方案屏蔽了底层 Servlet 容器的解析差异,但同时也引入了 Spring 特有的解析陷阱。原创 2023-09-10 14:00:00 · 385 阅读 · 0 评论 -
Fuzzing 在 Java 漏洞挖掘中的应用
对于 Java 这样的内存安全编程语言也是可以 fuzz 的,只不过目的是找出逻辑漏洞而不是内存破坏原创 2023-09-11 07:00:00 · 337 阅读 · 0 评论 -
浅谈 URL 解析与鉴权中的陷阱
说到 URL 解析,想必关注 Web 安全的朋友们都看过 Orange 那篇,其中对不同语言中的 URL Parser 做了较为详尽的分析。该议题主要关注不同 Parser 处理 URL 时的域名部分,以实现针对 SSRF 的绕过和后利用。本文的关注点则有所不同,主要是针对 URL 解析的路径部分。因为 URL 的路径部分通常涉及到资源和服务的路由,以及对应的鉴权校验。通常我们在漏洞挖掘和渗透测试时都收集过一些鉴权绕过的 “Tricks”,但很多时候并不了解其所以然,每每测试结束后总觉得缺少了些什么。原创 2023-07-31 08:30:00 · 428 阅读 · 0 评论 -
Spring {Boot,Data,Security} 历史漏洞研究
前言上篇文章 介绍了 Spring Framework 本身的一些核心技术点以及历史上出现过的几个典型漏洞,在其末尾我们说了,Spring 生态中除了框架本身,还有许多其他流行的项目。这些项目的文档和源码见:spring.io/projectsgithub.com/spring-projects本文即对其中几个比较知名的项目进行介绍,同时也会对历史上出现过的漏洞进行分析和回顾。Spring BootSpring Boot 是 Spring 的核心子项目,主要目的是为了简化新建 Spring原创 2023-05-01 12:38:11 · 254 阅读 · 0 评论 -
Spring Framework 历史漏洞研究
本文的主要目标是分析、总结、归纳历史上出现过的 Spring 框架漏洞,从而尝试找出其中的潜在模式,以达到温故知新的目的。当然作为一个 Java 新手,在直接分析漏洞之前,还是会先从开发者的角度去学习 Spring 中的一些核心概念,从而为后续的理解奠定基础。原创 2023-04-23 08:00:00 · 570 阅读 · 0 评论 -
Java 安全研究初探
Java 安全,通常指代的是 Java Web 安全。在刚开始学习的一段时间里,面对众多的框架和名词,比如 Spring、Weblogic、EJB、AKB,等等,总感觉狗啃泰山无从下嘴。于是就有了这篇文章,旨在记录学习过程中遇到的所有问题,希望也能对像我一样的初学者有所帮助。原创 2023-04-03 07:30:00 · 246 阅读 · 0 评论