Awesome
javasec
这是我在学习java安全审计的一些总结,每篇文章可能都不会很长,可能就只是讲一个知识点,但是文章越短,我才越容易坚持下去把这系列文章写完~
本系列文章不求把每个细节都覆盖到,但求把提到的每个知识点用通俗易懂的话阐述出来
文章体系规划(待完善):
JAVA反射机制
JAVA动态代理机制
JAVA序列化与反序列化机制
常见的pop gadgets以及一些反序列化漏洞案例
apache commons-collections中的反序列化利用链
IDEA调试技巧
RMI基础
攻击RMI的方式
结合自己写的demo以及真实漏洞案例
JNDI注入
几句话讲解原理,再结合几个真实漏洞案例:fastjson、spring的jndi注入案例
JMX的安全问题
XXE
几种常见的解析xml的jar包,以及他们的漏洞点,防御手法
JDK中其它的一些反序列化
Weblogic之XMLDecoder反序列化1(CVE-2017-3506)
JAVA表达式安全问题
SQL注入
JWT安全问题
Spring框架基础知识
Struts2框架基础知识
SSRF
主要是各种方法,各个jar包
各大大型应用、类库的漏洞
weblogic系列、spring系列、fastjson系列、jackson系列、solr、jboss、tomcat、struts2....
JVM基础
此部分内容虽是基础知识,但是对于漏洞挖掘也许并无多大助益,我在写作的过程中也只挑了我关注的内容,像jvm垃圾收集及调优部分内容就被我舍弃了