Java安全之Dubbo反序列化漏洞分析 0x00 前言 最近天气冷，懒癌又犯了，加上各种项目使得本篇文断断续续。 0x01 Dubbo 概述 Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC（一种远程调用） 分布式服务框架（SOA），致力于提供高性能和透明化的RPC远程服务 ...

Java安全之Fastjson反序列化漏洞分析 首发：先知论坛 0x00 前言 在前面的RMI和JNDI注入学习里面为本次的Fastjson打了一个比较好的基础。利于后面的漏洞分析。 0x01 Fastjson使用 在分析漏洞前，还需要学习一些Fastjson库的简单使用 ...

Java安全之Cas反序列化漏洞分析 0x00 前言 某次项目中遇到Cas，以前没接触过，借此机会学习一波。 0x01 Cas 简介 CAS 是 Yale 大学发起的一个开源项目，旨在为 Web 应用系统提供一种可靠的单点登录方法，CAS 在 2004 年 12 月正式成为 JA-SIG ...

Java安全之Shiro 550反序列化漏洞分析 首发自安全客：Java安全之Shiro 550反序列化漏洞分析 0x00 前言 在近些时间基本都能在一些渗透或者是攻防演练中看到Shiro的身影，也是Shiro的该漏洞也是用的比较频繁的漏洞。本文对该Shiro550 反序列化漏洞进行一个分析 ...

　　2015年11月6日，FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞，来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用，实现远程代码执行 ...

1.搭建环境 2.注解利用工具 2.通用工具 工具：JavaDeserH2HC.zip 下载地址： https://github.com/joaomatosf/ ...

Java安全之log4j反序列化漏洞分析 0x00 前言 前段时间在看某个cms代码的时候，发现log4j组件版本存在漏洞，并且开启了端口，但web站点是nginx反向代理的，而在外网并没有开放到该端口，所以并没有利用成功。但该漏洞遇到的比较少，就算一些cms中log4j组件版本存在漏洞 ...

相关学习资料 目录 背景 　　2015年11月6日FoxGlove Security安全团队的@breenmachine 发布了一篇长博客，阐述了利用Java反序列化和Apache Commons Collections这一基础类库实现远程命令执行 ...