归档
正在加载今日诗词...
12
29
JavaSec jvm运行机制与类加载应用 JavaSec jvm运行机制与类加载应用
在这边文章将讲述: 1.Java语言的基础,从JVM角度讲述java程序运行的模型,如jvm内存模型,在脑海形成java语言编程到运行的概念; 2.类加载与应用:理解作为Java程序的基本元素Class字节码,Class对象,Class对
2020-12-29
26
JaveSec javaagent技术研究 JaveSec javaagent技术研究
一、前言在学习java反序列化漏洞的时候,看到有采用 notsoserial 的黑白名单javaagent机制实现对Java反序列化漏洞的修复 java 在运行时候提供参数 -agentlib:[=] 加载本机代理库 , 例如 -a
2020-12-26
24
10
JavaSec Tomcat内存Webshell分析 JavaSec Tomcat内存Webshell分析
随着各种JAVA指定环境RCE漏洞的出现,Java Web的安全逐渐被人们所重视,与漏洞相关的还有用于后期维持权限的Webshell。与PHP不同的是,JSP的语言特性较为严格,属于强类型语言,并且在JDK9以前并没有所谓的eval函数。
2020-12-10
04
JavaSec rmi利用分析 JavaSec rmi利用分析
在《JavaSec JNDI注入利用分析》中JNDI支持访问多种命名与目录服务,其中就有利用RMI达成RCE的目的。RMI(Remote Method Invocation)远程方法调用可以类比RPC,这里将以下要点总结RMI的利用原理:
2020-12-04
02
JavaSec jndi注入利用分析 JavaSec jndi注入利用分析
在fastjson反序列化漏洞利用的学习中引出了JNDI的利用攻击方式,JNDI(Java Naming and Directory Interface)实际可以理解为一个编程接口,通过API的操作可以操作后端命名服务或者目录服务,如loo
2020-12-02
11
20
JavaSec Fastjson反序列化漏洞利用原理 JavaSec Fastjson反序列化漏洞利用原理
在上篇《JavaSec Java反序列化漏洞利用》中指出,不安全的输入字节流参与甚至改变了程序的执行流是Java反序列化漏洞利用的成因,对于从字节序列反向实例化对象除了Java Serialize外,还有json,xml等传输数据格式,其中
2020-11-20
10
JavaSec Fastjson反序列漏洞复现 JavaSec Fastjson反序列漏洞复现
在《JavaSec FastJson反序列化漏洞利用原理》中分析了FastJson的反序列化漏洞成因,也总结了FastJson的反序列化利用方式,这里将复现一些有关FastJson的漏洞利用,以清晰了解FastJson的漏洞发展史,从中吸取
2020-11-10
02
JavaSec Jackjson反序列化漏洞利用原理 JavaSec Jackjson反序列化漏洞利用原理
在上篇《JavaSec FastJson反序列化漏洞利用原理》中介绍了FastJson的基本使用与及fastjson在解析json串还原对象状态的逻辑及其中的利用点,而FastJson的修复方式也是仅仅加一些黑名单限制和一些字符处理,但都有
2020-11-02
10
24
JavaSec Jackjson反序列漏洞复现 JavaSec Jackjson反序列漏洞复现
在《JavaSec Jackson反序列化漏洞原理》中分析Jackson反序列化漏洞的成因,也总结了一些了Jackson的反序列化漏洞利用方式,这里将以Jackson的漏洞复现为主,以理清Jackson的漏洞发展史,从中吸取一些攻防经验。
2020-10-24
20
JavaSec java反序列化漏洞利用分析 JavaSec java反序列化漏洞利用分析
Java反序列是一个将对象转换为字节流的机制,是在json,xml数据格式之外的一个数据传输格式,是Java原生支持的。但是不安全的序列化与反序列使用存在安全风险,这是对不可信的输入数据没有严格的校验改变了程序的执行流程,达到任意代码执行等
2020-10-20