Java安全之反序列化回显与内存马 0x00 前言 按照我个人的理解来说其实只要能拿到Request 和 Response对象即可进行回显的构造,当然这也是众多方式的一种。也是目前用的较多的方式。比如在Tomcat 全局存储的Request 和 Response对象,进行获取后则可以在tomcat这 ...
分类:
编程语言 时间:
2021-06-17 16:48:33
阅读次数:
0
数字签名能够验证数据完整性、认证数据来源,并起到抗否认的作用,这3点与OSI参考模型中的数据完整性服务、认证(鉴别)服务和抗否认性服务相对应。消息摘要算法是验证数据完整性的最佳算法,因此,该算法成为数字签名中的必要组成部分。 基于数据完整性验证,我们希望数据的发送方可以对自己所发送的数据做相应的签名 ...
分类:
编程语言 时间:
2021-03-08 13:53:21
阅读次数:
0
在前面说到,消息摘要用于验证数据完整性,对称与非对称加密用于保证数据保密性,数据签名用于数据的抗否认性,于是集这些安全手段于一身的终极武器--数字证书出现了。数字证书具备了加密/解密的必要信息,包含签名算法,可用于网络数据加密/解密交互,标识网络用户(计算机)身份。数据证书为发布公钥提供了一种简便途 ...
分类:
编程语言 时间:
2021-03-08 13:52:59
阅读次数:
0
JAVA安全编码规范 1、安全编码基本原则 1.1 所有输入数据都是有害的 直接输入数据: 对于用户通过 GET, POST, COOKIE, REQUEST等输入的数据以及框架提供的数据来源,即通信协议中从客户端传过来的一切变量,无论是用户手动填写的数据或是客户端浏览器或操作系统自动填写的数据,都 ...
分类:
编程语言 时间:
2021-02-25 12:22:03
阅读次数:
0
注释 单行注释 //注释 多行注释 /*注释*/ 文档注释 /** 可以识别关键字 */ 关键字 标识符 所有标识符都应该以字母、美元符号或下划线开始 标识符大小写敏感 数据类型 强类型语言 所有变量都必须先定义后使用,如java,安全性高 弱类型语言 很随意,如js JAVA数据类型 基本类型 引 ...
分类:
编程语言 时间:
2021-01-07 12:08:51
阅读次数:
0
Java安全之Weblogic 2016-0638分析 文章首发先知:Java安全之Weblogic 2016-0638分析 0x00 前言 续上篇文的初探weblogic的T3协议漏洞,再谈CVE-2016-0638, CVE-2016-0638是基于 CVE-2015-4852漏洞的一个绕过。 ...
分类:
编程语言 时间:
2021-01-02 11:12:47
阅读次数:
0
什么是Shiro? Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 shiro不依赖于spring,shiro不仅可以实现 web应 ...
分类:
编程语言 时间:
2020-11-23 12:34:16
阅读次数:
10
Java安全之JNDI注入 文章首发:Java安全之JNDI注入 0x00 前言 续上篇文内容,接着来学习JNDI注入相关知识。JNDI注入是Fastjson反序列化漏洞中的攻击手法之一。 0x01 JNDI 概述 JNDI(Java Naming and Directory Interface,J ...
分类:
编程语言 时间:
2020-11-17 12:20:36
阅读次数:
10
0x01 概述 Shiro简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 漏洞概述 Apache Shiro 1.2.4及以前 ...
分类:
其他好文 时间:
2020-11-08 16:59:57
阅读次数:
23
Java安全之Commons Collections3分析 文章首发:Java安全之Commons Collections3分析 0x00 前言 在学习完成前面的CC1链和CC2链后,其实再来看CC3链会比较轻松。CC1的利用链是 Map(Proxy).entrySet()触发AnnotationI ...
分类:
编程语言 时间:
2020-10-21 21:36:33
阅读次数:
38
