工具1、jadx2、frida 网络请求框架分析请求协议通过查看app源码,可以清楚看到okhttp3的包名,使用okhttp3就很香。okhttp3分析1、打印网络请求通过他的sign或者sig3算...
11月23日361 views评论a
java
抓包quick手
11月23日361 views评论a
java
11月23日361 views评论a
java
CWE-576 EJB不安全实践:使用Java I/O
CWE-576 EJB不安全实践:使用Java I/O EJB Bad Practices: Use of Java I/O 结构: Simple Abstraction: Variant 状态: D...
11月21日CWE(弱点枚举)54 views评论cwe
java
从Charles破解历程了解Javassist使用
题记看文章看到javassist可以直接修改java字节码,之前没有尝试过,因为charles是用java写的跨平台抓包工具,之前也用过,所以拿来进行测试!简介Javassist是一个开源的分析、编辑...
11月19日124 views评论java
字节
java安全-java反射
前言 如果要想深入学习java安全,除了java必备的基础知识外,还有一些java高阶的知识需要了解,例如反射,类加载,RPC,动态代理等。这些概念是java漏洞利用的基础,例如shiro反序列化,f...
11月17日62 viewsjava安全-java反射已关闭评论java
序列化
java安全-java类加载器
前言 java类加载器是JVM加载类到内存并运行的过程,这个过程有点复杂,除了系统自定义的三类加载器外,java运行用户编写自定义加载器来完成类的加载过程。java安全中常常需要远程加载恶意类文件来完...
11月17日67 viewsjava安全-java类加载器已关闭评论java
自定义
java安全-java RMI
前言 RPC全称为远程过程调用,通俗点讲就是可以在不同的设备上互联调用其方法,比如client可以远程调用server上的方法。而RMI是jdk中RPC的一种实现方式,通过RMI可以轻松的实现RPC而...
11月17日121 viewsjava安全-java RMI已关闭评论java
rmi
代码审计 | Java Web 核心技术 - Servlet
0x00 前言Servlet 是 Java Web 容器中运行的小程序,Servlet 原则上可以通过任何客户端-服务端协议进行通信,但它们常与 HTTP 一起使用,因此 Servlet 通常作为 “...
11月16日88 views评论java
代码审计
JBDC注入
什么是JDBC Java 数据库连接 ( JDBC ) 是编程语言Java的应用程序编程接口(API) ,它定义了客户端如何访问数据库。它是一种基于 Java 的数据访问技术,用于 Java 数据库连...
11月15日31 viewsJBDC注入已关闭评论java
数据库
代码审计 | Java EE 基础知识
Java 平台分为三个主要版本:Java SE(Java 平台标准版)Java EE(Java 平台企业版)Java ME(Java 平台微型版)Java EE 是 Java 应用最广泛的版本。0x0...
11月15日79 views评论java
代码审计
Tomcat弱口令漏洞攻击研究
*严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。一、实验目的 1、在XP系统上搭建Tomcat服务器平台;2、在另一台虚拟机上利用弱口令漏洞上传木马程序,使得XP系统中木马。二、实验...
11月11日160 views评论java
tomcat
Category-1151: SEI CERT Oracle Java安全编码标准-准则17.Java本机接口(JNI)
Category-1151: SEI CERT Oracle Java安全编码标准-准则17.Java本机接口(JNI) ID: 1151 Status: Stable Summary Weaknes...
11月04日CWE(弱点枚举)59 views评论cert
java
Java方法完整调用链生成工具
1. 前言在很多场景下,如果能够生成Java代码中方法之间的调用链,是很有帮助的,在代码审计及漏洞分析等场景中也是。IDEA提供了显示调用指定Java方法向上的完整调用链的功能,可以通过“Naviga...
11月04日255 views评论java
工具
95