My Interview Problems For Practice

无论何种漏洞，其思路都是两个，减小危害，减少攻击。

FastJson1.2.24-反序列化RCE学习笔记

前言

我们知道序列化和反序列化的存在是为了面向类的编程思想的语言，传递类方便，才会有序列化和反序列化的概念，每个语言自带的序列化方式都不同，但是无论是Python,JavaScript,PHP,Java，都有对应的包，支持利用JSON为传递类的数据格式，而FastJson是阿里的开源高性能JSON包，在国内运用的相当普遍。因此每当这个包出现漏洞，影响都是非常巨大的。我们学习这个RCE漏洞，能够帮助我们更好的理解Java安全。

Struct2 S2-001漏洞分析

前言

最近总算是入了Java安全的门了，说到Java的漏洞Spring,Weblogic,JBoss,Struct2,FastJson等基本都是绕不过去的坎，这次我们试着来分析一下Struct2的第一个洞，虽然有些年代感了，但还是比较经典的。网上大部分都是Poc很少有人分析这个漏洞的成因，所以这次我们来试试。

Apache Shiro RemberMe 反序列化漏洞分析

前言

最近实验室招新，某大佬对萌新出了一道shiroRemberMe反序列化，正好最近在学习java安全，接着这个机会来分析一下这个漏洞吧，也因为老谈理论不太好，还是实际分析一个漏洞更加清楚。

初始JavaWeb安全(3)

前言

前面两篇文章，我们大致理解了Java的反射机制，以及其在安全方面的应用，这次我们来说说RMI，即远程方法调用。个人理解是和RCE(远程代码执行)类似，只是一般语言执行的是代码，而在Java万物皆类的思想中，我们只能执行类中的方法，而非代码，所以可以看成Java中的特殊RCE