一、前言 JDK 1.5 开始,Java新增了 Instrumentation ( Java Agent API )和 JVMTI ( JVM Tool Interface )功能,允许JVM在加载某...
su18.jsp
太久没有写文章了,觉得有必要水一篇。 最近一直在忙着开发公司项目,对于最新的安全漏洞以及RASP技术的研究暂时没有跟的特别紧,所以也就没什么好分享的,不过也在抽空修修改改的写点小东西,先发一个webs...
Malibot分析
在浏览安全客时发现,Malibot伪装成钱包和浏览器以便窃取数据。于是火速从Malwarebazzar下个样本,开始分析。样本信息样本格式sha256malibotapkb12dd66de4d180d...
实战|Tomcat文件上传流量层面绕waf新姿势
文章作者: Y4tacker,欢迎访问作者博客文章链接: https://y4tacker.github.io写在前面无意中看到ch1ng师傅的文章觉得很有趣,不得不感叹师傅太厉害...
一款自动生成单元测试的 IDEA 插件
点击下方“IT牧场”,选择“设为星标”今天来介绍一款工具Squaretest,它是一款自动生成单元测试的插件,为什么会用到它?主要因为最近公司上了代码质量管控的指标,会考评各个项目的单元测试覆盖率,...
【技术分享】Fastjson <1.2.48 入门调试
fastjson反序列化已经是近几年继Struts2漏洞后,最受安全人员欢迎而开发人员抱怨的一个漏洞了。目前分析Fastjson漏洞的文章很多,每次分析文章出来后,都是过一眼就扔一边了。正好最近在学习...
【yso】- CC7反序列化分析
前言学习CommonsCollections7反序列化链。ysoserial中CC7 payload构造CC7利用链中是使用Hashtable作为反序列化的入口点public Hashtable ge...
Solr DIH dataConfig参数XXE漏洞
别人的CVE,编号CVE-2018-1308。今天无意看到了,刚好有用Solr搭建过服务,所以来水一篇。0x01 背景介绍DataImportHandler主要用于从数据库抓取数据并创建索引,Solr...
【yso】- CC5反序列化分析
前言学习cc5反序列化链。在CC5链中ysoserial给出的提示是需要JDK1.8并且SecurityManager需要是关闭的。在实际尝试中jdk1.7.0_80也是可以的;JDK7u21不行,发...
短信平台被黑引发的诈骗短信
大半夜的收到这样一条短信,是以学校平时发送短信的端口发送的,而且青大的用校园网手机号的几乎都收到了 不用说,这肯定不是伪基站,而是学校群发短信的平台被入侵了。 短信上的那个链接是非常典型的钓鱼网站,而...
【yso】- CC3反序列化分析
前言学习ysoserial中CommonsCollections3反序列化利用链。ysoserial 中的 CC3 payload构造先看下yso中cc3这条链的payload是怎么构造的,后续我们再...
原创 |CodeQL与AST之间联系
点击蓝字关注我们前言Part 1为什么要学习Java抽象语法树呢?在计算机科学中,抽象语法树(abstract syntax tree 或者缩写为 AST),或者语法树(synta...