前言 java反序列化也算是个老生常谈的话题了,近年来就java反序列化问题出现过不少的漏洞,如shiro反序列化,fastjson反序列化等。说起java反序列化的漏洞利用,那么不得不提一个工具ys...
JDBC安全
0x00 JDBC简介 JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用J...
PHP 序列化和反序列化
php->序列化&反序列化 PHP序列化:PHP序列化是将变量或者对象转换成字符串的过程 PHP反序列化:PHP反序列化将字符串转换成变量或者对象的过程 序列化与json的区别:json...
从零开始,分析Spring Framework RCE
0x01 写在前面 如果需要让你对一套CMS的安全性进行研究分析,你会从哪里入手? 或许你会回答代码审计的那一套知识点。 那么,如果需要让你要对 Spring Framework 框架的安全性进行研究...
源码层面梳理Java RMI交互流程
0x00 RMI简述 RMI(Remote Method Invocation)是Java语言执行远程方法调用的Java API,相当于面向对象的远程过程调用(RPC),支持直接传输序列化的Java类...
php代码审计案例之easy_serialize_php
所谓代码审计是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。在安全领域,为了发现安全问题,常通过黑盒测试、白盒测试方法来尽可能的发现业务程序中的安全问题,代码审计就是白盒测试的常用方法...
某新版本商贸系统的代码审计
文章来源:先知社区(AndyNoel)原文地址:https://xz.aliyun.com/t/11190一、前言起源于社团大佬发出的一张图片,最近没事就练一下代码审计吧。然后电脑坏了,借了一台win...
【创宇小课堂】代码审计-Fastjson各版本漏洞分析(上)
- 前言 -最先出现问题的Fastjson 1.2.24反序列化漏洞已经分析过了,产生漏洞的原理也差不多理解了•在1.2.25之后的版本,以及所有的.sec01后缀版本中,autotype功能默认是受...
ThinkPHP3.2.3反序列化链子分析
点击蓝色关注我们前言目前官方已经不再维护ThinkPHP3.2.3,本文仅对ThinkPHP3.2.3反序列化链子进行复现,如有纰漏,还望指正。环境介绍MAMP proPhpStormXdebug利用...
干货 | 从源码看HashMap键值对集合
与其相忘于江湖,不如点击“蓝字”关注之前我们看过了两种类型的集合,ArrayList集合和LinkedList集合,两种集合各有优势,我们不具体说了,但是本篇要看的集合可以完成它们完成不了的任务。比如...
从代码审查视角看软件质量
理论基础软件质量是软件与明确地叙述的功能和性能需求、文档中明确描述的开发标准以及任何专业开发的软件产品都应该具有的隐含特性相一致的程度。作为软件开发人员怎样保证所研发的软件产品是一个高性能、无缺陷的的...
原创 | 浅谈Log4j2在Springboot的检测-2
点击蓝字关注我们引言Part 1前面分享了通过利用Accept的解析异常来触发log4j2漏洞,传送门:https://sec-in.com/article/1431。继续前面的思路,结合异常日志寻找...
127