Roderick

摘要： JAVA安全-04RMI篇 前篇写了JNDI的内容，本篇详细写RMI的具体细节。 RMI全称是Remote Method Invocation，远程⽅法调⽤。是让某个Java虚拟机上的对象调⽤另⼀个Java虚拟机中对象上的⽅法，只不过RMI是Java独有的⼀种RPC方法。看这篇之前可以先去看看RPC 阅读全文

摘要： JAVA安全-03JNDI JNDI是什么 JNDI(Java Naming and Directory Interface)是Java提供的Java 命名和目录接口。通过调用JNDI的API应用程序可以定位资源和其他程序对象。JNDI并不只是包含了DataSource(JDBC 数据源)，JNDI 阅读全文

摘要： JAVA安全-02反射机制 什么是反射 Java反射(Reflection)是Java非常重要的动态特性，通过使用反射可以获取到任何类的成员方法(Methods)、成员变量(Fields)、构造方法(Constructors)等信息，还可以动态创建Java类实例、调用任意的类方法、修改任意的类成员变 阅读全文

摘要： JAVA安全-01类加载机制 Java是一个依赖于JVM（Java虚拟机）实现的跨平台的开发语言。Java程序在运行前需要先编译成class文件，Java类初始化的时候会调用java.lang.ClassLoader加载类字节码，ClassLoader会调用JVM的native方法（defineCl 阅读全文

摘要： Java代码审计漏洞-URL跳转 基础知识：https://www.cnblogs.com/-meditation-/p/16243218.html 漏洞代码 redirect、response.setHeader("Location", url)、sendRedirect 都可能存在漏洞 //re 阅读全文

摘要： URL跳转漏洞 简介 URL 跳转漏洞也叫作 URL 重定向漏洞，由于服务端未对传入的跳转地址进行检查和控制，从而导致攻击者可以构造任意一个恶意地址，诱导用户跳转至恶意站点。因为是从用户可信站点跳转出去的，用户会比较信任该站点，所以URL跳转漏洞常用于钓鱼攻击，通过转到攻击者精心构造的恶意网站来欺骗 阅读全文

摘要： Java代码审计漏洞-SSRF服务器请求伪造 ssrf基础：https://www.cnblogs.com/-meditation-/p/16227632.html 补充一点：SSRF利用的协议PHP和JAVA的有区别，高版本的JAVA可以用file ftp mailto http https ja 阅读全文

摘要： #SSRF服务器请求伪造 概念 SSRF(服务端请求伪造)：是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。 SSRF形成的原因：服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。 攻击方式 1.访问服务器所在内网 阅读全文

摘要： #Java代码审计漏洞-CSRF跨站请求伪造 若要通过代码审计去挖掘 CSRF 漏洞，一般需要首先了解该开源程序的框架。CSRF 漏洞一般会在框架中存在防护方案，所以在审计CSRF漏洞时，首先要熟悉框架对CSRF的防护方案，若没有防护方案，则以该框架编写的所有Web程序都可能存在CSRF漏洞。若有防 阅读全文

摘要： CSRF全称为跨站请求伪造（Cross-site request forgery），也被称为 one-click attack 或者 session riding，它的意思是被攻击者在登录的情况下点击有攻击性的链接或访问含有恶意代码的网页，在被攻击者没意识到的情况下，使用被攻击者的身份对服务器发送一 阅读全文