越来越多的企业采用Java语言构建企业Web应用程序,基于Java主流的框架和技术及可能存在的风险,成为被关注的重点。本文从黑盒渗透的角度,总结下Java Web应用所知道的一些可能被利用的入侵点。1...
Java ysoserial学习之CommonsCollections6(三)
争取明年有一个上千star的项目0x00 前言在上一篇通过 P牛和 ysoserial 项目分析了CommonsCollections1这条利用链和其中的TransformedMap、LazyMap原...
APK包进行签名过程错误处理
一:keytool 错误: java.io.FileNotFoundException: mydemo.keystore (拒绝访问。)keytool 错误: java.io.FileNotFound...
Android安全(二)—-攻击框架drozer全功能介绍
drozer是个好东西,虽然现在分为免费和专业版,但专业版也就增加了GUI界面之类的无关痛痒的东西,下面逐一介绍一下drozer的各种姿势。使用前应保证下面的东西都安装完毕:Java Runtime ...
Linux环境变量总结
链接:https://www.zhangjunbk.com/article/590Linux是一个多用户的操作系统。多用户意味着每个用户登录系统后,都有自己专用的运行环境。而这个环境是由一组变量所定义...
XStream<=1.4.15-反序列化-JNDI注入
Smi1e@卫兵实验室分析日期2021/01/18漏洞复现证明截图影响范围XStream<=1.4.15漏洞分析年前找的一个链,前天害怕被撞就交了,结果今天就发了补丁,不过修的几个链跟我找的si...
Elasticsearch漏洞总结
Elasticsearch简介Elasticsearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用J...
Java ysoserial学习之URLDNS(一)
雄关漫道真如铁 而今迈步从头越0x01 前言URLDNS 是 ysoserial 中利用链的一个 payload,该 payload 的目的只有一个,就是确定目标系统上是否存在可控的 readObje...
java安全之fastjson链分析
原创稿件征集邮箱:[email protected]:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的稿酬前段时间...
学习Java代码审计时4个常见问题,几乎每个学员都会遇到
出品|MS08067实验室(www.ms08067.com)通过想要入门Java代码安全审计的朋友们进行交流,发现朋友们对这几个问题有着比较高的关注度: 问题1:在参与系列课程前,需要把Ja...
Java代码审计进阶知识扩展
出品|MS08067实验室(www.ms08067.com)在《Java代码安全审计(入门篇)》第四章中,我们介绍了一些Java基础知识,但实际上由于篇幅和书籍目录调整的原因,对于RMI、LDAP、J...
c#反序列化学习之TypeConfuseDelegate
反序列化漏洞在很多语言中都存在。之前一直在研究java的反序列化漏洞,但是想检验一下对于java反序列化漏洞的理解,于是我学习c#反序列化漏洞。当然,我也不是专业c#开发,没有正规接触过c#,所以有些...
95