工具1、jadx2、frida 网络请求框架分析请求协议通过查看app源码,可以清楚看到okhttp3的包名,使用okhttp3就很香。okhttp3分析1、打印网络请求通过他的sign或者sig3算...
CWE-576 EJB不安全实践:使用Java I/O
CWE-576 EJB不安全实践:使用Java I/O EJB Bad Practices: Use of Java I/O 结构: Simple Abstraction: Variant 状态: D...
从Charles破解历程了解Javassist使用
题记看文章看到javassist可以直接修改java字节码,之前没有尝试过,因为charles是用java写的跨平台抓包工具,之前也用过,所以拿来进行测试!简介Javassist是一个开源的分析、编辑...
java安全-java反射
前言 如果要想深入学习java安全,除了java必备的基础知识外,还有一些java高阶的知识需要了解,例如反射,类加载,RPC,动态代理等。这些概念是java漏洞利用的基础,例如shiro反序列化,f...
java安全-java类加载器
前言 java类加载器是JVM加载类到内存并运行的过程,这个过程有点复杂,除了系统自定义的三类加载器外,java运行用户编写自定义加载器来完成类的加载过程。java安全中常常需要远程加载恶意类文件来完...
java安全-java RMI
前言 RPC全称为远程过程调用,通俗点讲就是可以在不同的设备上互联调用其方法,比如client可以远程调用server上的方法。而RMI是jdk中RPC的一种实现方式,通过RMI可以轻松的实现RPC而...
代码审计 | Java Web 核心技术 - Servlet
0x00 前言Servlet 是 Java Web 容器中运行的小程序,Servlet 原则上可以通过任何客户端-服务端协议进行通信,但它们常与 HTTP 一起使用,因此 Servlet 通常作为 “...
JBDC注入
什么是JDBC Java 数据库连接 ( JDBC ) 是编程语言Java的应用程序编程接口(API) ,它定义了客户端如何访问数据库。它是一种基于 Java 的数据访问技术,用于 Java 数据库连...
代码审计 | Java EE 基础知识
Java 平台分为三个主要版本:Java SE(Java 平台标准版)Java EE(Java 平台企业版)Java ME(Java 平台微型版)Java EE 是 Java 应用最广泛的版本。0x0...
Tomcat弱口令漏洞攻击研究
*严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。一、实验目的 1、在XP系统上搭建Tomcat服务器平台;2、在另一台虚拟机上利用弱口令漏洞上传木马程序,使得XP系统中木马。二、实验...
Category-1151: SEI CERT Oracle Java安全编码标准-准则17.Java本机接口(JNI)
Category-1151: SEI CERT Oracle Java安全编码标准-准则17.Java本机接口(JNI) ID: 1151 Status: Stable Summary Weaknes...
Java方法完整调用链生成工具
1. 前言在很多场景下,如果能够生成Java代码中方法之间的调用链,是很有帮助的,在代码审计及漏洞分析等场景中也是。IDEA提供了显示调用指定Java方法向上的完整调用链的功能,可以通过“Naviga...
95