JSshell:一款针对XSS漏洞的JavaScript反向Shell
JSshell是一个JavaScript反向Shell工具,该工具可以帮助广大研究人员远程利用XSS漏洞或扫描并发现XSS盲注漏洞。当前版本的JSshell支持在Unix和Windows操作系统上运行,并且同时...
Read More悟空云课堂 | 第三期:路径遍历漏洞的防范与检测
该栏目为中科天齐软件安全中心全新规划的悟空云课堂,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。本期主题为路径遍历漏洞的相关介绍。 路...
Read More悟空云课堂 | 第一期:什么是SQL注入漏洞?
该栏目为中科天齐软件安全中心全新规划的悟空云课堂,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。本期主题为OS命令注入漏洞的相关介绍。 0...
Read More关于Java 中 XXE 的利用限制探究
作者:Mr.zhang合天智汇 一般而言,在Java里碰到XXE,如果是有回显的,那自然很好办,如果是没有回显,那就需要我们构造通道来把数据带出,过去在XXE利用中,如果单纯使用HTTP协议(除了...
Read MoreJava动态类加载,当FastJson遇到内网
都快2020年了,平时偶尔还是能遇到一些低版本的FastJson漏洞,现在遇到比较多的是部署在内网服务器上的场景。从外网对漏洞点进行探测,只有DNSLog可以成功请求回来,因为目标服务器...
Read Morejava安全学习-Code-Breaking Puzzles-javacon详细 分析
作者:tr1ple原创投稿活动:重金悬赏 | 合天原创投稿等你来0x01.前言 最近在学习java安全,正好Code-Breaking系列有一道java代码审计相关的题目,这里详细分析一下这道题目,希望能和...
Read MoreJavaScript Prototype污染攻击
原创: Mr.zhang 合天智汇 0x00 正文 想了解什么是JavaScript可到合天网安实验室学习实验——Javascript基础,学习DOM操作和BOM操作,点击http://www.hetianlab.com/expc.do?ec...
Read MoreAdwind家族恶意软件
2012年初,开发人员开始销售Adwind家族的第一个基于Java的远程访问工具(RAT),称为“Frutas”。在随后的几年里它被改写了至少七次。它的其他名字包括adwind、unrecom、alien spy...
Read More如何绕过高版本JDK的限制进行JNDI注入
写在前面Java JNDI注入有很多种不同的利用载荷,而这些Payload分别会面临一些限制。笔者在实际测试过程中也遇到过很多有限制的情况,这里做个梳理并分享下如何绕过这些限制。关...
Read More从charles破解历程了解javassist使用
01题记看文章看到javassist可以直接修改java字节码,之前没有尝试过,因为charles是用java写的跨平台抓包工具,之前我也用过,所以拿来进行测试!02简介Javassist是一个开源的分析、...
Read MoreJava序列化对象:流行性调研、漏洞渗透、利用开发和安全识别
概述Java序列化对象(Java Serialization Object,JSO)是Java语言中在不同Java程序之间进行数据交换的机制,通过序列化和反序列可以在程序保存和恢复Java执行态的对象,JSO给Java开...
Read More漏洞经验分享丨Java审计之XXE(下)
上篇内容我们介绍了XXE的基础概念和审计函数的相关内容,今天我们将继续分享Blind XXE与OOB-XXE的知识点以及XXE防御方法,希望对大家的学习有所帮助! 上期回顾 ◀漏洞经验分...
Read More漏洞经验分享丨Java审计之XXE(上)
最近在审计公司的某个项目时(Java方面),发现了几个有意思的Blind XXE漏洞,我觉得有必要分享给大家,尤其是Java审计新手,了解这些内容可以让你少走一些弯路。Java总体常出现的审...
Read More网易易盾最新一代Java2c加固究竟有什么厉害之处?
导语:几个月前,网易易盾正式推出Java2c加固。它以独有的“静态保护”技术,使得应用程序中的代码出现“下沉”,达到不可逆的效果,兼顾“冷热启动时间”、“CPU”、 “内存占用率”...
Read More深入理解JNDI注入与Java反序列化漏洞利用
0. 前言在Java反序列化漏洞挖掘或利用的时候经常会遇到RMI、JNDI、JRMP这些概念,其中RMI是一个基于序列化的Java远程方法调用机制。作为一个常见的反序列化入口,它和反序列化...
Read MoreFastJson反序列化漏洞利用的三个细节 - TemplatesImpl的利用链
0. 前言记录在FastJson反序列化RCE漏洞分析和利用时的一些细节问题。1. TemplatesImpl的利用链关于 parse 和 parseObjectFastJson中的 parse() 和 parseObject()方法都可以...
Read MoreJava代码审计入门篇
作者:i春秋核心白帽yanzmi原文来自:https://bbs.ichunqiu.com/thread-42149-1-1.html 本期斗哥带来Java代码审计的一些环境和工具准备。Java这个语言相对于PHP来说还是比较复...
Read MoreJava虚拟机的Heap监狱
Java虚拟机的Heap监狱
Read More《阿里巴巴Java开发手册》涉及安全部分讲解
《阿里巴巴Java开发手册》可以作为编码风格、规范、要约的最佳实践,在阅读过程中,有一部分质量方面的规范涉及安全,提取出来分享下。 0.【推荐】类成员与方法访问控制从严: java...
Read MoreAndroid逆向——smali复杂类解析
i春秋作家:HAI_ 之前在Android逆向——初识smali与java类中讲解了基本的HelloWorld和简单类。这节课就要进一步深入。如果能够耐下心来分析一定会有所收获。——写给自己和后...
Read MoreRASP相关的技术实现和产品介绍
介绍自从2014年Gartner将RASP列为应用领域的关键趋势后,互联网企业愈来认识到其是在边界模糊后的一种稳健的解决方案。列位读者首先需要认识到RASP和WAF并不是同一纬度的产品...
Read MoreAndroid逆向-java代码基础
作者:I春秋作家——HAI_0x00 前言看这篇可以先看看之前的文章,进行一个了解。 Android逆向-java代码基础(1) Android逆向-java代码基础(2) 文章里的内容可以选读,里面会有一些问题...
Read More