subtitle
2020年研究回顾总结 2020年研究回顾总结
前言   这篇文章是一遍概述,浓缩性的文章,大致内容是将我研究的内容,回归总结。将分析文章总一个压缩在压缩性质的总结。尽可能保证用最简单话写最多的内容,都是自己的理解,如有错误还请谅解。所有的具体分析文章都在博客中,博客地址:https:/
2021-04-04
Shiro-550反序列化漏洞分析 Shiro-550反序列化漏洞分析
概述   Shiro反序列化漏洞目前为止有两个,Shiro-550(Apache Shiro < 1.2.5)和Shiro-721( Apache Shiro < 1.4.2 )。这两个漏洞主要区别在于Shiro550使用已
2021-03-21
一道shiro反序列化题目引发的思考 一道shiro反序列化题目引发的思考
前言文章首发:https://www.anquanke.com/post/id/231488    这是某银行的内部的一个CTF比赛,受邀参加。题目三个关键词权限绕过、shiro、反序列化,题目源码已经被修改,但考察本质没有,题目源码会上传
2021-03-05
逆向学习fastjson反序列化始 逆向学习fastjson反序列化始
前言   Fastjson这款国内知名的解析json的组件,笔者在此就不多介绍,网络上有很多分析学习fastjson反序列化漏洞文章。笔者在此以一种全新角度从分析payload构造角度出发,逆向学习分析fastjson反序列化漏洞始末。ps
2020-07-23
Windows Terminal 配置文件 Windows Terminal 配置文件
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646
2020-07-01
Java反序列化链回显解决方案 Java反序列化链回显解决方案
题外话   这是一篇本应该早就完成的文章,但是由于各种原因拖延至此。之前有读者就催我,但是实在是各种事情缠身,加上自己颓废了一段时间导致现在才公布。之后可能会断更一段时间关于代码审计方面文章,时间暂不确定。其实有几个题材早也确定,但是实在是
2020-06-01
漫谈Java反序列化 漫谈Java反序列化
前言   Java的反序列化漏洞探索出了Java安全的新纪元。开发人员为什么要反序列化呢?众所周知,用户和服务器进行交互时,会传输一下数据,数据传输前需要格式化,将数据转化成服务器认可的格式。比例:JSON、XML。   JSON和XML的
2020-05-20
从安全角度谈Java反射机制--终章 从安全角度谈Java反射机制--终章
前言首发:https://www.sec-in.com/article/309   通过前两章的了解,大家对Java反射机制有了一定的认知。本章作为反射篇的最终章,如果从反序列化的层面来说Java反射的具体危害,需要一些反序列化的基础知识。
2020-05-13
从安全角度谈Java反射机制--序章 从安全角度谈Java反射机制--序章
前言首发:https://www.sec-in.com/article/307   众所周知,Java目前影响最大的是反序列化漏洞,换一句话说Java安全是从反序列化漏洞开始,但反序列化漏洞又可以基于反射,这次笔者带你走进Java安全的大门
2020-05-12
从安全角度谈Java反射机制--前章 从安全角度谈Java反射机制--前章
前言首发:https://www.sec-in.com/article/307   欢迎回来,上回说到Java反射机制基础知识,并用简单代码做了一个简单的Demo。  笔者从执行命令的角度来展开话题,看这篇文章大部分都是网络安全的从业者亦或
2020-05-12
1 / 2