概述新年伊始 Tabby v2.0 正式发布了,过节正好有时间体验下实际效果。ZDI 去年底公开了 HPE Insight Remote Support 存在漏洞 CVE-2024-53675 和 C...
网安原创文章推荐【2025/1/28】
2025-01-28 微信公众号精选安全技术文章总览洞见网安 2025-01-28 0x1 原创工具|Venom-JWT渗透工具 - 针对JWT漏洞和密钥爆破服务渗透测试阿呆攻防 2025-01-28...
由浅入深解析JAVA RMI安全攻击面
RMI 介绍RMI即远程方法调用,可以让一个JVM调用另一个JVM上的远程类(实现java.rmi.Remote接口的类)的方法。这个过程有三个组织参与:client、注册中心(registry)、s...
Java安全基础汇总
Java安全java的序列化和反序列化Java 序列化是指把 Java 对象转换为字节序列的过程ObjectOutputStream类的 writeObject() 方法可以实现序列化Java 反序列...
JNDI与RMI、LDAP相关的安全问题探讨
1Concepts of JNDIJNDI 全名 Java Naming and Directory Interface,实际上简单来说就是一个接口,应用通过该接口来访问对应的目录服务。好吧,先了解一...
Attacking Java RMI via SSRF
文章前言在过去的几年中,SSRF漏洞变得异常火热,同时也公开纰漏的几个高质量的SSRF漏洞,通过SSRF漏洞攻击后端应用的范围也从基于HTTP的服务(例如:Solr)、云元数据服务转变到了更奇特的目标...
JAVA JNDI注入基础与高版本限制绕过
目录 前言基础知识RMI与LDAPJNDI原理及使用例子JNDI注入JNDI注入在不同版本下的限制通过RMI与LDAP进行JNDI注入(jdk<8u191)复现例子调用链分析通过构造恶意反序列化...
JAVA RMI 反序列化攻击 & JEP290 Bypass分析
目录 说在前面RMI 基础RPCJAVA 代理JAVA RMIJRMPRMI源码分析Server端注册中心(Registry)LocateRegistry.createRegistryLocateRe...
中间件漏洞-WebLogic T3协议反序列化命令执行漏洞1
一、漏洞原理简介 漏洞概述: CVE-2018-2628是Oracle WebLogic Server(WLS)核心组件中的一个反序列化命令执行漏洞。 允许未授权的用户通过T3协议在远程...
网安原创文章推荐【2024/12/21】
2024-12-21 微信公众号精选安全技术文章总览洞见网安 2024-12-210x1 SQLMAP注入神器MySQL注入使用总结小兵搞安全 2024-12-21 22:34:560x2 【新day...
JAVA安全之JDK8u141版本绕过研究
基本介绍从JDK8u141开始JEP290中针对RegistryImpl_Skel#dispatch中bind、unbind、rebind操作增加了checkAccess检查,此项检查只允许来源为本地...
Java反序列化之RMI(一)
Java RMI0x01 RMI简介RMI(Remote Method Invocation)远程方法调用,一种允许程序跨JVM调用对象的思想。调用方法即会涉及到参数传递,在Java中,如果我们想完整...