构造方法 | CN-SEC 中文网

安全开发

Java快速入门之类、对象、方法

Java快速入门之类、对象、方法1. 类和对象1.1 类和对象的理解客观存在的事物皆为对象，Java中万物皆对象。·类o类的理解§类是对象的数据类型，类是具有相同属性和行为的一组对象的集合，相当于现...

01月22日6 views评论

阅读全文

代码审计

禅道16.5 SQLi分析

漏洞描述禅道16.5 前台SQLi注入。漏洞分析 POST/GET注入皆可，因为代码中会判断是否传参进而取值执行SQL。继续跟踪，来到其父类查看是否存在createApp方法，并进行分析. 创建...

01月03日8 views评论

阅读全文

代码审计

Java反序列化-CommonsCollections1链分析

什么是CC? CC全称Commons Collections，主要封装了Java的集合相关类对象，它是Java中的一个组件利用链是什么? 你可以把他看做反序列化漏洞的EXP ，利用链首先要满足三...

11月12日6 views评论

阅读全文

安全文章

13.Fastjson（.NET）反序列化点后篇

1.关于AssemblyInstaller在前篇我们基本介绍了.NET Fastjson反序列化问题的一些基本情况，在最后提到了黑名单里的几个关键类，我们使用的只是ObjectDataProvider...

10月30日19 views评论

阅读全文

代码审计

10.JavaScriptSerializer反序列化点

1.JavaScriptSerializer基础使用这也是一个用于json序列化与反序列化的类，学习一下使用。先写一个用于测试的类，注意这个类可以不用打上Serializable特性序列化与反序列化流...

10月29日16 views评论

阅读全文

安全文章

探究使用反射进行除Runtime的命令执行方法

扫码领资料获黑客教程免费&进群概述在RASP等安全产品防护严密的现在，普通的寻找Runtime.getRuntime().exec(cmds)的调用已经成为了一件不现实的事情。同样的，在Jav...

10月18日6 views评论

阅读全文

安全文章

5.ToolboxItemContainer、RolePrincipal、WindowsPrincipal链以及一些反序列化特性

1.前言水点二次反序列化链的分析，.NET里的二次反序列化链绝大部分都比较简单，很容易就能跟完，适合新手师傅入门学习。Y4er师傅是把下面一些链子和ObjectStateFormatter绑起来一块介...

10月13日17 views评论

阅读全文

代码审计

Java反射深入再理解

星期五实验室阅读须知星期五实验室的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行...

10月13日5 views评论

阅读全文

代码审计

Java反射技术详解

一、基本反射技术1.1 根据一个字符串得到一个类getClass方法打印结果如下：Class.forName比如我们获取java.lang.String的类名这里也通过捕获异常，因为我们传的这个字符...

10月13日9 views评论

阅读全文

代码审计

java反序列化

java反序列化 CC1 入口是Transformer接口的transform方法 transform方法被21个类实现了，入口类是InvokerTransformer InvokerTransfor...

02月17日17 views评论

阅读全文

安全博客

Fastjson 68 commons-io AutoCloseable

前言今天长亭公众号发了一个 fastjson commons-io AutoCloseable 的利用，正好我最近也在分析这个，看了一下，有相同的地方也有不同地方，那我也发出来一起学习交流吧。我这...

05月25日26 views评论

阅读全文

代码审计

【java安全】从0到1--第3章

点击蓝字关注我们微信搜一搜暗魂攻防实验室知识点1、JavaEE-反射机制-开发和安全应用场景2、JavaEE-反射机制-类&成员变量&方法&构造方法操作3、JavaEE-反射机...

05月23日27 views评论

阅读全文

在线咨询

微信