摘要：JAVA安全基础之代理模式（二） 上篇讲到静态代理模式，这时候我们发现，一个代理类只能为一个类服务，如果需要代理的类很多，那么就需要编写大量的代理类，比较繁琐。所以就有了动态代理 动态代理 动态代理的代理类，是在内存中构建代理对象，从而实现对目标对象的代理功能。 在这里我们需要知道两个类：1.Inv 阅读全文

摘要：JAVA安全基础之代理模式（一） 代理模式是java的一种很常用的设计模式，理解代理模式，在我们进行java代码审计时候是非常有帮助的。 静态代理 代理，或者称为 Proxy ，简单理解就是事情我不用去做，由其他人来替我完成。在黄勇《架构探险》一书中，我觉得很有意思的一句相关介绍是这么说的： 赚钱方 阅读全文

摘要：JAVA安全基础之反射 在JAVA安全中，反射是一个经常使用的技术，所以熟悉使用反射是非常必要的。下面就简单的讲下JAVA的反射的用法 什么是反射 每个类都有对应的Class类对象，该Class类对象包含该类的属性、方法等信息，这个Class类对象就是这个类的反射。 就像镜子一样，一个类照镜子后，镜 阅读全文

摘要：ysoserial CommonsColletions2分析 前言 此文章是ysoserial中 commons-collections2 的分析文章，所需的知识包括java反射，javassist。 在CC2中是用的 PriorityQueue#reaObject作为反序列化的入口，利用javas 阅读全文

摘要：XXE从0到1 1. XXE概述 XXE（XML External Entity Injection）即XML外部实体注入。漏洞是在对不安全的外部实体数据进行处理时引发的安全问题。 下面我们主要介绍PHP语言下的XXE攻击. 1.1 XML基础 XML是可扩展的标记语言（eXtensible Mar 阅读全文