最近总算是入了Java安全的门了,说到Java的漏洞Spring,Weblogic,JBoss,Struct2,FastJson等基本都是绕不过去的坎,这次我们试着来分析一下Struct2的第一个洞,虽然有些年代感了,但还是比较经典的。网上大部分都是Poc很少有人分析这个漏洞的成因,所以这次我们来试试。
Java
Spring,Weblogic,JBoss,Struct2,FastJson
Struct2
Poc
最近实验室招新,某大佬对萌新出了一道shiroRemberMe反序列化,正好最近在学习java安全,接着这个机会来分析一下这个漏洞吧,也因为老谈理论不太好,还是实际分析一个漏洞更加清楚。
shiroRemberMe
java
前面两篇文章,我们大致理解了Java的反射机制,以及其在安全方面的应用,这次我们来说说RMI,即远程方法调用。个人理解是和RCE(远程代码执行)类似,只是一般语言执行的是代码,而在Java万物皆类的思想中,我们只能执行类中的方法,而非代码,所以可以看成Java中的特殊RCE
RMI
RCE
上回了解了基础的Java反射机制,以及如何执行系统命令的方法,下面我们还是从反射说起。
由于各种各样的原因,决定接触一下Java,博主的Java水平很菜也就是能读懂语法的程度,但目前Java在Web中处于霸者地位,这让不接触java变成一件难事,因此还是得学。
Web
Java从我目前了解到的信息来看,Java安全大多是Java反序列化安全,而Java反序列化安全又得从反射说起
反射
