前言 欢迎回来,上回说到Java反射机制基础知识,并用简单代码做了一个简单的Demo。 笔者从执行命令的角度来展开话题,看这篇文章大部分都是网络安全的...
从安全角度谈Java反射机制--终章
前言 通过前两章的了解,大家对Java反射机制有了一定的认知。本章作为反射篇的最终章,如果从反序列化的层面来说Java反射的具体危害,需要一些反序列化的基础知识。故笔者决定从...
Java代码审计之短信验证码模块
常见实现方式 一般的短信验证码功能都是通过与短信平台的相关接口进行交互实现的。例如下面是通过聚合数据的接口实现的: ```java import java.io.Buffere...
快亦有道!让 Python 变快的 5个方案
“ 阅读本文大概需要 5 分钟。 ”译者:诗书塞外原文:http://dwz.date/duAAPython 的运行速度确实没有 C 或者 Java 快,但是有一些项目正在努力让 Python 变得更...
JaveWeb中常见的信息泄漏——DWR类测试地址
关于DWR DWR(Direct Web Remoting)是一个用于改善web页面与Java类交互的远程服务器端Ajax开源框架,可以帮助开发人员开发包含AJAX技术的网站。...
漫谈Java反序列化
前言 Java的反序列化漏洞探索出了Java安全的新纪元。开发人员为什么要反序列化呢?众所周知,用户和服务器进行交互时,会传输一下数据,数据传输前需要格式化,将数据转化成服务...
Java代码审计之SSH框架
SSH框架代码审计学习 一、Hibernate框架学习 0x01Hibernate介绍 它将POJO与数据库表建立映射关系,是一个全自动的orm框架,hibernate可以自动生成SQL语句,自动执行...
从安全角度谈Java反射机制--序章
前言 众所周知,Java目前影响最大的是反序列化漏洞,换一句话说Java安全是从反序列化漏洞开始,但反序列化漏洞又可以基于反射,这次笔者带你走进Java安全的大门。 &ems...
fastjson 1.2.76 和其他JSON库使用不当可能造成漏洞
背景这个问题是由 fastjson 和 (net.sf.json-lib 或者 org.json 其中一个库)同时在代码中使用且编写不当造成,关于 JSON-lib 和 org.json 这两个库做过...
Java代码审计系列第二课 实际案例讲解Apache Commons Collections反序列化漏洞
简述Apache Commons Collections是Apache Commons的组件,它们是从Java API派生而来的,并为Java语言提供了组件体系结构。Commons-Collectio...
JAVA反序列化漏洞之环境搭建调试篇
00—前言 JAVA反序列化漏洞,是近几年来红队的“宠儿”,比如说shiro反序列化、jboss反序列化、weblogic反序列化等等。这类漏洞有些利用条件并不苛刻,但是造成的...
给哥斯拉 webshell 管理工具加后门
Java 反编译是分析 Java 程序的基本手段,也是对一些 Java 程序二次开发的基本前提,可用于反编译的工具有很多,比如 JD-GUI,CRF 等,个人比较常用的是 IntelliJ IDEA ...
95