JAVA代码审计 - 文章分类 - 九天揽月丶

JAVA安全-08反序列化篇(4)-CC6

摘要：上⼀篇详细分析了CommonsCollections1这个利⽤链，但是在Java 8u71以后，这个利⽤链不能再利⽤了，主要原因是 sun.reflect.annotation.AnnotationInvocationHandler#readObject 的逻辑变化了，新建了⼀个LinkedHash 阅读全文

posted @ 2022-06-09 20:14 九天揽月丶阅读(229) 评论(0) 推荐(1)

JAVA安全-07反序列化篇(3)-CC1

摘要：上篇文章学习了URLDNS这条链，主要是HashMap和URL这两个类，接下来学习Common-Collections利⽤链，此篇文章记录学习CC1的学习过程。简介 commons-collections是Apache软件基金会的项目，对Java标准的Collections API提供了很好的补充阅读全文

posted @ 2022-06-03 15:12 九天揽月丶阅读(577) 评论(0) 推荐(1)

JAVA安全-06反序列化篇(2)-URLDNS

摘要：JAVA安全-06反序列化篇(2)-URLDNS URLDNS 就是ysoserial中⼀个利⽤链的名字，但准确来说，这个其实不能称作“利⽤链”。因为其参数不是⼀个可以“利⽤”的命令，⽽仅为⼀个URL，其能触发的结果也不是命令执⾏，⽽是⼀次DNS请求。ysoserial 打包成jar命令 mvn c 阅读全文

posted @ 2022-05-14 17:38 九天揽月丶阅读(891) 评论(0) 推荐(1)

JAVA安全-05反序列化篇(1)

摘要：JAVA安全-05反序列化篇(1) 序列化与反序列化 Java序列化是指把Java对象转换为字节序列的过程；而Java反序列化是指把字节序列恢复为Java对象的过程。序列化是这个过程的第一部分，将数据分解成字节流，以便存储在文件中或在网络上传输。反序列化就是打开字节流并重构对象。对象序列化不仅要将阅读全文

posted @ 2022-05-12 18:08 九天揽月丶阅读(239) 评论(0) 推荐(1)

JAVA安全-04RMI篇

摘要：JAVA安全-04RMI篇前篇写了JNDI的内容，本篇详细写RMI的具体细节。 RMI全称是Remote Method Invocation，远程⽅法调⽤。是让某个Java虚拟机上的对象调⽤另⼀个Java虚拟机中对象上的⽅法，只不过RMI是Java独有的⼀种RPC方法。看这篇之前可以先去看看RPC 阅读全文

posted @ 2022-05-12 13:08 九天揽月丶阅读(224) 评论(0) 推荐(1)

JAVA安全-03JNDI

摘要：JAVA安全-03JNDI JNDI是什么 JNDI(Java Naming and Directory Interface)是Java提供的Java 命名和目录接口。通过调用JNDI的API应用程序可以定位资源和其他程序对象。JNDI并不只是包含了DataSource(JDBC 数据源)，JNDI 阅读全文

posted @ 2022-05-11 14:36 九天揽月丶阅读(161) 评论(0) 推荐(1)

JAVA安全-02反射机制

摘要：JAVA安全-02反射机制什么是反射 Java反射(Reflection)是Java非常重要的动态特性，通过使用反射可以获取到任何类的成员方法(Methods)、成员变量(Fields)、构造方法(Constructors)等信息，还可以动态创建Java类实例、调用任意的类方法、修改任意的类成员变阅读全文

posted @ 2022-05-10 22:49 九天揽月丶阅读(262) 评论(0) 推荐(1)

JAVA安全-01类加载机制

摘要：JAVA安全-01类加载机制 Java是一个依赖于JVM（Java虚拟机）实现的跨平台的开发语言。Java程序在运行前需要先编译成class文件，Java类初始化的时候会调用java.lang.ClassLoader加载类字节码，ClassLoader会调用JVM的native方法（defineCl 阅读全文

posted @ 2022-05-09 17:24 九天揽月丶阅读(226) 评论(0) 推荐(1)

Java代码审计漏洞-URL跳转

摘要：Java代码审计漏洞-URL跳转基础知识：https://www.cnblogs.com/-meditation-/p/16243218.html 漏洞代码 redirect、response.setHeader("Location", url)、sendRedirect 都可能存在漏洞 //re 阅读全文

posted @ 2022-05-07 19:15 九天揽月丶阅读(541) 评论(0) 推荐(0)

Java代码审计漏洞-SSRF服务器请求伪造

摘要：Java代码审计漏洞-SSRF服务器请求伪造 ssrf基础：https://www.cnblogs.com/-meditation-/p/16227632.html 补充一点：SSRF利用的协议PHP和JAVA的有区别，高版本的JAVA可以用file ftp mailto http https ja 阅读全文

posted @ 2022-05-07 12:04 九天揽月丶阅读(552) 评论(0) 推荐(0)

Java代码审计漏洞-CSRF跨站请求伪造

摘要：#Java代码审计漏洞-CSRF跨站请求伪造若要通过代码审计去挖掘 CSRF 漏洞，一般需要首先了解该开源程序的框架。CSRF 漏洞一般会在框架中存在防护方案，所以在审计CSRF漏洞时，首先要熟悉框架对CSRF的防护方案，若没有防护方案，则以该框架编写的所有Web程序都可能存在CSRF漏洞。若有防阅读全文

posted @ 2022-05-05 10:27 九天揽月丶阅读(1331) 评论(0) 推荐(0)

Java代码审计漏洞-XSS漏洞

摘要：Java代码审计漏洞-XSS漏洞基础知识 https://www.cnblogs.com/-meditation-/p/16168961.html 个人学习笔记，直接看代码，不写奇怪的东西，分析代码写注释。情况一：反射型XSS //1. /** * Vuln Code. * ReflectXSS 阅读全文

posted @ 2022-04-18 18:14 九天揽月丶阅读(806) 评论(0) 推荐(0)

Java代码审计漏洞-SQL注入

摘要：Java代码审计漏洞-SQL注入基础知识 https://www.cnblogs.com/-meditation-/p/16031461.html https://www.cnblogs.com/-meditation-/p/16031338.html https://www.cnblogs.co 阅读全文

posted @ 2022-04-16 12:53 九天揽月丶阅读(323) 评论(0) 推荐(0)

Roderick

愿每个努力向上的人，都可以上九天揽月，下五洋捉鳖！

文章分类 - JAVA代码审计

公告