前言继本系列上篇从CVE-2015-4852入手了解T3协议的构造后,本篇继续分析开启T3反序列化魔盒后的修复与绕过。Weblogic对于10.3.6推出了p20780171和p22248372用于修...
RMI反序列化初探
RMI关于RMI这部分的学习:Java RMI 攻击由浅入深 | 素十八 以及 RMI反序列化漏洞之三顾茅庐-流程分析 | Halfblue,大佬们的文章就是这么有营养,再推个视频...
对Java第三方库使用、更新、风险的实证评估
原文标题:An empirical study of usages, updates and risks of third-party libraries in java projects原文作者:Y...
一文入门 soot
命令行使用参考实现:Introduction: Soot as a command line tool下载地址:https://soot-build.cs.uni-paderborn.de/publi...
中间件常见漏洞之JBOSS
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
深入详解Apk编译打包流程
前言身为一个Android开发,一定要了解apk编译打包流程;那么今天我们就来学习下;apk的编译流程1、apk文件apk是Android Package的缩写;解压apk文件后包含AndroidMa...
实战拿下印度阿三的垃圾服务器
免责声明由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
java不安全的反序列化
什么是反序列化序列化,是指将内存中的某个对象压缩成字节流的形式,而反序列化,则是将字节流转化成内存中的对象。Java序列化和反序列化处理是基于Java框架的Web应用中比较重要的功能。因为在网络中,无...
【安全圈】重大供应链威胁!这个 Java 开源框架存在严重漏洞
关键词 恶意软件 美国网络安全和基础设施安全局(CISA)和安全研究人员报告称,一个受广泛使用的开源Java框架中存在严重漏洞并被攻击者利用,他们正利用该漏洞向未打补丁的服务器部署后门。专家表示,这种...
Java S2-002 漏洞复现分析
0x01 前言复现一下 S2-002 的洞0x02 S2-002漏洞简介Struts2-002 是一个 XSS 漏洞,该漏洞发生在 s:url 和&n...
实战过印度阿三垃圾服务器
免责声明由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
JAVA安全|字节码篇:字节码文件结构与解读
本文为JAVA安全系列文章第二十三篇,学习掌握.class文件的结构,能根据文档对16进制字节码文件进行解读。0x01 字节码文件结构一、字节码文件java是一门跨平台的语言,我们使用ja...
95