与原生的Java反序列化的区别在于,FastJson反序列化并未使用ObjectInputStream.readObject()方法,而是由FastJson自定一套反序列化的过程。通过在反序列...
RASP| SQL注入检测与防御
一方面数据映射框架如mybatis、hiberate等在框架底层已经实现了对sql注入的防御,另一方面白盒/黑盒等扫描器也能解决一部分sql注入问题,sql注入的出现风险被大大降低。但是在研发人员未能...
RASP从0到1
本文所有代码位于:https://github.com/godownio/RASPAgent环境配置在讲晦涩难懂的理论之前,先配个代码环境:https://xz.aliyun.com/t/4902?t...
第110篇:国hu攻防比赛蓝队防守经验总结(上篇)
Part1 前言 大家好,我是ABC_123。一年一度的网络安全大考终于告一段落,在以往的蓝队防护里面,记了很多笔记,画了一很大很大的思维导图,有一些经验和心得还是值得总结的。 Part2 技术研究...
如何从容的应对Log4j漏洞(RASP Demo)
1 Log4j漏洞余波未平此次Apache Log4j2远程代码执行漏洞影响面广,利用门槛低,危害还极大,堪称“史诗级”的漏洞。Java的应用极其广泛且生态庞大,而Log4j作为日志处理的基础组件被几...
JYso可以同时具备多种JNDI高版本、WAF、RASP的Bypass功能工具
下载 https://github.com/qi4L/JYso 使用说明 所有使用示例,用的是Yakit的FUZZ语法 🦄内存马 两种添加方式: 支持引用远程类加载方式打入(Basic路由)。 支持本...
RASP漏洞防御之 shiro 反序列化
“ RASP漏洞防御之 shiro 反序列化” ApacheShiro框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie,在服务端接收cookie值后,B...
webshell下的Rasp简易绕过
一 、什么是RASP?在2014年的时候,Gartner引入了“Runtime application self-protection”一词,简称为RASP。它是一种新型应用安全保护技术,它将保护程序...
0day漏洞防御篇:(CVE-2024-38856)Apache OFBiz 远程代码执行漏洞
CVE-2024-38856是一个错误授权漏洞,是因身份验证机制中存在缺陷而产生的漏洞。Apache OFBiz在处理view视图渲染时存在逻辑缺陷,该漏洞允许未经身份验证的远程攻击者通过构造特殊UR...
漏洞预警:Nacos 0day漏洞触发远程代码执行
Nacos即Dynamic Naming and Configuration Service(动态命名与配置服务),是开源的一款服务发现、配置和管理微服务的中间件。在Nacos中新发现的0day漏洞可...
IAST,常用的开源、免费工具!
什么是 IASTIAST(交互式应用安全测试)是一种在应用程序运行时进行安全检测的方法,我们可以认为 IAST 是嵌入应用程序内的一种安全测试手段;它结合了静态应用安全测试(SAST)和动态应用安全测...
RASP检测能力提升的思考与实践
许纬地,平安银河实验室安全研究员,研究方向为蓝军攻击、RASP防护、云原生等。🔥🔥🔥国内技术领先的开源RASP社区:https://www.jrasp.com原文始发于微信公众号(RASP安全技术):...