Java 安全:Java 脏数据填充技术探索
· 阅读需 9 分钟
前言
29 篇博文 含有标签「Java 安全」
Java 反序列化、字节码、协议分析与利用
查看所有标签Java 安全:Java 反序列化漏洞 PoC 开发
· 阅读需 5 分钟
近期收到一些反馈,部分刚入门 yaklang 的读者还比较迷茫。本篇将面向yaklang入门给大家介绍:如何使用yaklang针对Java类型漏洞编写POC。一些案例与实践
靶场实战:无 Java 依赖的 Shiro 靶场
· 阅读需 7 分钟
背景
Java 安全:基于规则的 JavaWeb 回显方案
· 阅读需 13 分钟
JavaWeb 回显技术是做漏洞检测和利用绕不过去的。由于反连检测会受网络影响,对于内网或是网络环境差的场景有漏报的风险。所以本文研究下 JavaWeb 的回显。
Java 安全:Fastjson 结合 JDK 原生反序列化利用(Aliyun CTF)
· 阅读需 8 分钟
2023 Aliyun CTF ezbean 是一道 CTF java 反序列化题目。题目的目的是让选手通过一个 java 原生反序列化入口,最终达成 RCE。本文对题目的几种解法做了具体的分析,主要分为预期解法和非预期解法两种思路。通过对 Fastjson 在反序列化的行为分析,从两个方向攻克本题。
Java 安全:JNDI 注入利用总结(下)
· 阅读需 9 分钟
JNDI核心原理详细分析
Java 安全:JNDI 注入利用总结(上)
· 阅读需 13 分钟
ps:在java版本大于1.8u191之后版本存在trustCodebaseURL的限制,只能信任已有的codebase地址,不再能够从指定codebase中下载字节码
工程实践:使用 Fuzztag 爆破反序列化链(2.0)
· 阅读需 3 分钟
前情回顾
工程实践:使用 Fuzztag 爆破反序列化链
· 阅读需 7 分钟
背景
Java 安全:利用反序列化漏洞打内存马(Yso-Java Hack 进阶)
· 阅读需 6 分钟
背景