java - 第 70 | CN-SEC 中文网

代码审计

fastjson黑盒测试与白盒审计

简介与漏洞史java处理JSON数据有三个比较流行的类库，gson(google维护)、jackson、以及今天的主角fastjson，fastjson是阿里巴巴一个开源的json相关的java li...

09月14日298 views评论

阅读全文

安全文章

Java序列化反序列化源码---Jackson反序列化漏洞源码分析

本文为看雪论坛精华文章看雪论坛作者ID：smallnn前言本次分析从Java序列化和反序列化源码开始分析，进一步分析Jackson源码，找出造成漏洞的原因，最后以Jackson2.9.2版...

09月13日356 views评论

阅读全文

代码审计

Java审计之SQL注入篇

0x00 前言本篇文章作为Java Web 审计的一个入门文，也是我的第一篇审计文，后面打算更新一个小系列，来记录一下我的审计学习的成长。0x01 JDBC 注入分析在Java里面常见的数据库连接方式...

09月10日257 views评论

阅读全文

安全开发

URL 去重的 6 种方案！(附详细代码)

点击上方 Java后端，选择设为星标优质文章，及时送达作者 | 王磊来源 | Java中文社群（ID：javacn666）转载请联系授权（微信ID：GG_Stone）URL 去重...

09月10日230 views评论

阅读全文

安全文章

原创 | JaveWeb中常见的信息泄漏——DWR类测试地址

点击上方蓝字关注我吧关于DWRDWR（Direct Web Remoting）是一个用于改善web页面与Java类交互的远程服务器端Ajax开源框架，可以帮助开发人员开发包含AJAX技术的网站。DW...

09月08日1,697 views评论

阅读全文

安全开发

杂谈Java内存Webshell的攻与防

微信又改版了，为了我们能一直相见你的加星和在看对我们非常重要点击“长亭安全课堂”——主页右上角——设为星标🌟期待与你的每次见面～作者：Litch1：给 phith0n 师傅递茶的小弟这篇文章主要以To...

09月08日256 views评论

阅读全文

逆向工程

逆向分析Cobalt Strike安装后门

安全分析与研究专注于全球恶意软件的分析与研究Cobalt Strike简介Cobalt Strike是一款基于java的渗透测试神器，也是红队研究人员的主要武器之一，功能非常强大，非常适用于团队作战，...

09月07日618 views评论

阅读全文

安全开发

Java核心技术.pdf

最近很多小伙伴找我要一些 Java 资料。于是我翻箱倒柜，把这份阿里大牛总结的 Java高并发、Spring、MySQL归纳笔记找出来，免费共享给大家！、据说有小伙伴靠这份笔记顺利进入 BAT 哦，所...

09月07日250 views评论

阅读全文

安全文章

如何绕过Play框架中的CSRF保护（CVE-2020-12480漏洞）

我会在这篇文章介绍一个影响Play框架的漏洞，此漏洞允许在特定配置下绕过完整的跨站点请求伪造(CSRF)保护。play 框架是一个full-stack（全栈的）Java Web的应用框架，包括一个简单...

09月04日354 views评论

阅读全文

安全文章

JexBoss - JBoss （和其他 Java 反序列化漏洞）验证和更新工具

JexBoss 是一个工具，用于测试和利用 JBoss 应用程序服务器和其他 Java 平台、框架、应用程序等中的漏洞。要求Python >= 2.7.xurllib3ipaddress在 Li...

09月04日340 views评论

阅读全文

安全新闻

每日攻防资讯简报[Sept.3th]

0x00漏洞1.Java的ByteBuffer缓冲区溢出漏洞（CVE-2020-2803）和可变方法类型导致沙箱逃逸漏洞（CVE-2020-2805）https://insinuator.net/20...

09月03日256 views评论

阅读全文

安全开发

多图证明，Java到底是值传递还是引用传递？

作者 | 王磊来源 | Java中文社群（ID：javacn666）转载请联系授权（微信ID：GG_Stone）开篇先来曝答案，在 Java 语言中，本质只有值传递，而无引用传递，解释和证明...

09月03日222 views评论

阅读全文

在线咨询

微信