java - 第 66 | CN-SEC 中文网

安全漏洞

【漏洞通告】XStream多个漏洞通告

漏洞分析 1 组件介绍XStream是Java类库，用来将对象序列化成XML（JSON）或反序列化为对象。XStream在运行时使用Java反射机制对要进行序列化的对象树的结构进行探索，并不...

03月15日318 views评论

阅读全文

安全文章

渗透某游戏公司的java考勤系统

前言:由于某些原因，决定重新编辑渗透测试实例文章。上次授权测试了一个比较老的asp网站，大家可能没看过瘾，这次授权测试一个比较新的java网站，保准你看了之后直呼过瘾。fofa用简单语法搜索相关资产，...

03月15日262 views评论

阅读全文

代码审计

Java代码审计课程2

第二期Java代码审计开启第二期Java漏洞挖掘课程今天开启报名.课程同时会...

03月13日270 views评论

阅读全文

安全新闻

每日安全动态第66期（03.09 - 03.11）

每日安全动态安/全/分/析01ANALYSISIBM Java Runtime中的多个漏洞IBM Java Runtime存在CVE-2020-2830、CVE-2020-2781、CVE-2020-...

03月11日70 views评论

阅读全文

SecIN安全技术社区

Java安全之CC4链

0x00 前言继续来分析一波CC4的链，在写该文前，看到网上大部分的文章都只给了一个调用链和POC。其实看CC4调用链的时候，能看出来CC4的调用链用到的也是前面的一些类去构造，只不过把CC2 和C...

03月01日131 views评论

阅读全文

安全文章

JNDI之初探LDAP

基础知识在进入JNDI中LDAP学习前，先了解下其中涉及的相关知识JAVA模型序列化对象JNDI ReferencesJNDI References是类javax.naming.Reference的J...

02月22日277 views评论

阅读全文

安全文章

Java远程方法调用RMI利用分析

前提了解JNDIJNDI(Java Naming and Directory Interface,Java命名和目录接口)是SUN公司提供的一种标准的Java命名系统接口，JNDI提供统一的客户端AP...

02月22日174 views评论

阅读全文

安全文章

Java安全之命令执行

前言java安全里无论是反序列化还是什么其他漏洞，要说最终最能体现漏洞价值的话，那就是非命令执行莫属了。这次打算花点时间好好总结整理下java命令执行的几种方式，并做些浅面的分析。最近刚好...

02月07日204 views评论

阅读全文

安全文章

漏洞复现 | Tomcat漏洞复现

Tomcat服务器 0x01前言： Tomcat服务器是一个免费开放源代码的web应用服务器，属于轻量级应用服务器，主要在中小型系统和并发访问用户不是很多的场合下使用，是开发和调式JSP...

02月05日6 views评论

阅读全文

安全文章

【内部投稿】利用LazyMap构造利用链

点击蓝字 · 关注我们01前言java安全-反序列化之利用LazyMap构造利用链。在代码审计的知识星球里，看到p神关于java反序列化系列的文章。于是跟着该系列文章进行学习。这...

01月31日260 views评论

阅读全文

移动安全

移动安全（五）|NDK开发教程_普通和静态字段调用

0x00 背景本文依然是团队大佬非尘学习逆向的学习笔记，这一系列都将以实验的方式进行知识点学习和总结，后续将持续更新，不喜勿喷～本文及后续文章中使用...

01月26日242 views评论

阅读全文

SecIN安全技术社区

Java代码审计之SQL注入——Mybatis框架

Mybatis简介 MyBatis是支持定制化SQL、存储过程以及高级映射的优秀的持久层框架。MyBatis避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。MyBat...

01月24日774 views评论

阅读全文

【漏洞通告】XStream多个漏洞通告

渗透某游戏公司的java考勤系统

Java代码审计课程2

每日安全动态第66期（03.09 - 03.11）

Java安全之CC4链

JNDI之初探LDAP

Java远程方法调用RMI利用分析

Java安全之命令执行

漏洞复现 | Tomcat漏洞复现

【内部投稿】利用LazyMap构造利用链

移动安全（五）|NDK开发教程_普通和静态字段调用

Java代码审计之SQL注入——Mybatis框架

在线咨询

微信