java安全

癞皮狗不赖皮

WEB攻防-Java安全&SPEL表达式&SSTI模版注入&XXE&JDBC&MyBatis注入目录靶场搭建JavaSec编辑编辑Hello-Java-Sec(可看到代码对比)SQL注入-JDBC(Java语言连接数据库)

Java安全-类的动态加载先在方法区找class信息，有的话直接调用，没有的话则使用类加载器加载到方法区(静态成员放在静态区，非静态成功放在非静态区)，静态代码块在类加载时自动执行代码，非静态的不执行;先父类后子类，先静态后非静态;静态方法和非静态方法都是被动调用，即不调用就不执行。

脸红ฅฅ*的思春期

JAVA安全—反射机制&攻击链&类对象&成员变量方法&构造方法还是JAVA安全，哎，真的讲不完，太多啦。今天主要是讲一下JAVA中的反射机制，因为反序列化的利用基本都是要用到这个反射机制，还有一些攻击链条的构造，也会用到，所以就讲一下。

摸鱼也很难

安全开发 JavaEE && 反射机制 && 对象成员变量构造方法成员方法 && 攻击链概念介绍接口： java接口就是协议像我们的 usb接口就是为了统一外部硬件的调用规格api ：简单说就是java应用程序的调用不同的api绑定的是不同的应用程序

摸鱼也很难

javaEE安全开发 && SQL预编译 && Filter过滤器 && Listener 监听器 && 访问控制java开发和其他开发的不同并且更安全就是因为他拥有简单的预编译机制 filter 过滤器和 listener 监听器

知攻善防实验室

JAVA安全之类加载器我们写的代码都是.java结尾，然后通过javac编译成.class的字节码文件，这个字节码文件存放在本地

脸红ฅฅ*的思春期

Java安全—SpringBoot&Actuator&监控泄露&Swagger自动化今天依旧是SpringBoot框架，估计还要一篇文章才能把它写完，没办法，Java安全的内容太多了。SpringBoot Actuator模块提供了生产级别的功能，比如健康检查，审计，指标收集，HTTP跟踪等，帮助我们监控和管理Spring Boot应用，简单来说就是一个监控的模块。

Java安全（加密+HTTPS+WEB安全）单向加密接收一段明文，然后以一种不可逆的方式将它转换成一段密文①、MD5，将无论多长的数据最后编码128位数据，常用文件校验、密码加密、散列数据

Java安全-动态加载字节码严格来说，Java字节码（ByteCode）其实仅仅指的是Java虚拟机执行使用的一类指令，通常被存储在.class文件中。

XMLDecoder反序列化就简单讲讲吧，就是为了解析xml内容的一般我们的xml都是标签属性这样的写法比如person对象以xml的形式存储在文件中

JDK高版本下JNDI注入绕过只启用RMI服务时，这时候RMI客户端能够去打服务端，有两种情况，第一种就是利用服务端本地的gadget，具体要看服务端pom.xml文件

【Web】关于FastJson反序列化开始前的那些前置知识目录FastJson介绍FJ序列化与反序列化方法关于反序列化三种方式的关系与区别FastJson反序列化漏洞原理通识

简单看下最近的Spring Secrurity、Spring漏洞（CVE-2024-22234、CVE-2024-22243）最近的这两个cve我看国内很多情报将其评为高危，所以想着去看看原理，看完发现都比较简单，利用要求的场景也相对有限(特别是第一个)，所以就随便看下就行了

Actuator内存泄露及利用&Swagger未授权&自动化测试实现目录0x00 前言0x01 Actuator 泄露及利用1、Actuator heapdump 内存泄露

JNDI注入&Log4j&FastJson&白盒审计&不回显处理目录0x00 前言0x01 Maven 仓库及配置0x02 JNDI 注入简介0x03 Java-第三方组件-Log4J&JNDI

fastjson1.2.24 反序列化漏洞(CVE-2017-18349)分析FastJson在<= 1.2.24 版本中存在反序列化漏洞，主要原因FastJson支持的两个特性：