前言 java反序列化也算是个老生常谈的话题了,近年来就java反序列化问题出现过不少的漏洞,如shiro反序列化,fastjson反序列化等。说起java反序列化的漏洞利用,那么不得不提一个工具ys...
04月16日36 viewsjava安全-java反序列化之URLDNS已关闭评论java
反序列化
java安全-java反序列化之URLDNS
04月16日36 viewsjava安全-java反序列化之URLDNS已关闭评论java
反序列化
04月16日36 viewsjava安全-java反序列化之URLDNS已关闭评论java
反序列化
JDBC安全
0x00 JDBC简介 JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用J...
04月16日315 viewsJDBC安全已关闭评论
PHP 序列化和反序列化
php->序列化&反序列化 PHP序列化:PHP序列化是将变量或者对象转换成字符串的过程 PHP反序列化:PHP反序列化将字符串转换成变量或者对象的过程 序列化与json的区别:json...
04月16日70 viewsPHP 序列化和反序列化已关闭评论
从零开始,分析Spring Framework RCE
0x01 写在前面 如果需要让你对一套CMS的安全性进行研究分析,你会从哪里入手? 或许你会回答代码审计的那一套知识点。 那么,如果需要让你要对 Spring Framework 框架的安全性进行研究...
04月15日34 views评论java
rce
源码层面梳理Java RMI交互流程
0x00 RMI简述 RMI(Remote Method Invocation)是Java语言执行远程方法调用的Java API,相当于面向对象的远程过程调用(RPC),支持直接传输序列化的Java类...
04月15日22 views评论java
客户端
php代码审计案例之easy_serialize_php
所谓代码审计是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。在安全领域,为了发现安全问题,常通过黑盒测试、白盒测试方法来尽可能的发现业务程序中的安全问题,代码审计就是白盒测试的常用方法...
04月15日157 views评论
某新版本商贸系统的代码审计
文章来源:先知社区(AndyNoel)原文地址:https://xz.aliyun.com/t/11190一、前言起源于社团大佬发出的一张图片,最近没事就练一下代码审计吧。然后电脑坏了,借了一台win...
04月15日56 views评论
【创宇小课堂】代码审计-Fastjson各版本漏洞分析(上)
- 前言 -最先出现问题的Fastjson 1.2.24反序列化漏洞已经分析过了,产生漏洞的原理也差不多理解了•在1.2.25之后的版本,以及所有的.sec01后缀版本中,autotype功能默认是受...
04月15日52 views评论com
代码审计
ThinkPHP3.2.3反序列化链子分析
点击蓝色关注我们前言目前官方已经不再维护ThinkPHP3.2.3,本文仅对ThinkPHP3.2.3反序列化链子进行复现,如有纰漏,还望指正。环境介绍MAMP proPhpStormXdebug利用...
04月15日32 views评论php
反序列化
干货 | 从源码看HashMap键值对集合
与其相忘于江湖,不如点击“蓝字”关注之前我们看过了两种类型的集合,ArrayList集合和LinkedList集合,两种集合各有优势,我们不具体说了,但是本篇要看的集合可以完成它们完成不了的任务。比如...
04月13日29 views评论hash
key
从代码审查视角看软件质量
理论基础软件质量是软件与明确地叙述的功能和性能需求、文档中明确描述的开发标准以及任何专业开发的软件产品都应该具有的隐含特性相一致的程度。作为软件开发人员怎样保证所研发的软件产品是一个高性能、无缺陷的的...
04月13日37 views评论复杂度
架构设计
原创 | 浅谈Log4j2在Springboot的检测-2
点击蓝字关注我们引言Part 1前面分享了通过利用Accept的解析异常来触发log4j2漏洞,传送门:https://sec-in.com/article/1431。继续前面的思路,结合异常日志寻找...
04月13日60 views评论
127