技术栈
java安全
^ tr1ple ^
1 个月前
java
·
安全
·
java安全
JDK高版本下JNDI注入绕过
只启用RMI服务时,这时候RMI客户端能够去打服务端,有两种情况,第一种就是利用服务端本地的gadget,具体要看服务端pom.xml文件
Z3r4y
4 个月前
java
·
web
·
ctf
·
fastjson
·
反序列化
·
java安全
·
fastjson反序列化
【Web】关于FastJson反序列化开始前的那些前置知识
目录FastJson介绍FJ序列化与反序列化方法关于反序列化三种方式的关系与区别FastJson反序列化漏洞原理通识
9eek
4 个月前
网络安全
·
java安全
简单看下最近的Spring Secrurity、Spring漏洞(CVE-2024-22234、CVE-2024-22243)
最近的这两个cve我看国内很多情报将其评为高危,所以想着去看看原理,看完发现都比较简单,利用要求的场景也相对有限(特别是第一个),所以就随便看下就行了
Ch4ser
7 个月前
自动化
·
springboot
·
swagger
·
actuator
·
java安全
·
未授权
Actuator内存泄露及利用&Swagger未授权&自动化测试实现
目录0x00 前言0x01 Actuator 泄露及利用1、Actuator heapdump 内存泄露
Ch4ser
7 个月前
log4j
·
fastjson
·
jndi注入
·
java安全
JNDI注入&Log4j&FastJson&白盒审计&不回显处理
目录0x00 前言0x01 Maven 仓库及配置0x02 JNDI 注入简介0x03 Java-第三方组件-Log4J&JNDI
st3pby
7 个月前
渗透测试
·
漏洞分析
·
java安全
fastjson1.2.24 反序列化漏洞(CVE-2017-18349)分析
FastJson在<= 1.2.24 版本中存在反序列化漏洞,主要原因FastJson支持的两个特性: