Spring Data Jpa简介 JPA(Java Persistence API)是一种Java持久化解决方案,负责把数据保存到数据库,实际上它就是一种标准、规范,而不是具...
Java代码审计之XXE
关于XEE 漏洞原理 Java中XML内容的解析主要依赖于其丰富的库。XML 的解析过程中若允许加载外部实体,若不添加安全的XML解析配置,则XML文档将包含来自外部 URI ...
Java反序列化回显解决方案
题外话 这是一篇本应该早就完成的文章,但是由于各种原因拖延至此。之前有读者就催我,但是实在是各种事情缠身,加上自己颓废了一段时间导致现在才公布。之后可能会断更一段时间关于代码...
Real Wolrd CTF 3rd Writeup | Old System
微信又改版了,为了我们能一直相见你的加星和在看对我们非常重要点击“长亭安全课堂”——主页右上角——设为星标🌟期待与你的每次见面~1概述这次第三届 Real World CTF 我出了一道&n...
原创干货 | 【恶意代码分析技巧】03-java
1.java介绍 在上一篇文章里我们提到过,python是一门基于虚拟机的语言,在python执行的时候,python解释器将源代码转为字节码,然后再由python解释器来执行这些字节码。Java也是...
CVE-2020-35728 - RCE FasterXML POC
FFasterXML/jackson-databind是一个用于JSON和对象转换的Java第三方库,可将Java...
继Struts2漏洞,Jackson漏洞来袭
1、时间:2017-4-172、漏洞: Jackson框架Java反序列化远程代码执行漏洞,Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml...
Jackson 反序列化远程代码执行漏洞复现
本文作者:light(Ms08067实验室 SRSP TEAM小组成员)jackson介绍Jackson是一个能够将java对象序列化为JSON字符串,也能够将JSON字符串反序列化为java对象的框...
漫谈Commons-Collections反序列化
前言 如果你没有反序列化的基础,建议你看笔者博客文章先将基础学习一下。如果你没有学习分析过ysoserial--Gadget--URLDNS,建议你看笔者之前发过的文章学习一...
学习调试 JAVA 反序列化漏洞入门案例
本文作者:Z1NG(信安之路核心成员)本文以 Commons Collections5 利用链进行学习,进而分析近期公开的 CVE-2020-2555。作为学习调试 JAVA 反序列化漏洞入门的第一步...
逆向时看不懂Java代码?要不要快速入门一波?
快速了解:上次的福利没赶上?没关系,它又来了。大佬带你3天通过实战快速入门Java开发,让你轻松把Java的基础知识学习到熟悉的程度,学习过程中还能了解到一些后端开发们搞的东西,有兴趣的话可以了解一下...
【技术分享】CVE-2021-25646 Apache Druid 远程代码执行漏洞分析
01前置知识DruidApache Druid 是用 Java 编写的面向列的开源分布式数据存储, 通常用于商业智能/ OLAP 应用程序 中,以分析大量的实时和历史数据。Druid提供了...
95