Java上传文件格式判断
判断用户上传文件的合法性仅仅通过后缀名是完全不够的,谁也不知道后缀名是否被更改,服务器保存一个不知道真实类型的文件有极大的风险。 因此需要后台进行进一步的文件类型校验,这里有两种情况: ...
花费 37 ms
java加密类Cipher的使用
...
针对spring mvc的controller内存马-学习和实验(注入菜刀和冰蝎可用的马)
目录 1 基础 1.1 fastjson反序列化和JNDI 1.2 向spring mvc注入controller 1.3 获取request和 ...
Xstream远程代码执行(CVE-2020-26217)复现分析
前言 Xstream是一个基于java语言的xml操作类库,同时也是Java对象和XML相互转换的工具,提供了所有的基础类型、数组、集合等类型直接转换的支持。因此XML常用于数据交换、对象序列化。本 ...
CVE-2022-22947 Spring Cloud Gateway SPEL RCE复现
目录 0 环境搭建 1 漏洞触发点 2 构建poc 3 总结 参考 0 环境搭建 影响范围: Spring Cloud Gateway 3.1.x ...
常见Java库漏洞汇总
1.ActiveMQ 反序列化漏洞(CVE-2015-5254) ref:https://www.nanoxika.com/?p=408 Apache ActiveMQ是美国阿帕奇(Apach ...
SpEL表达式注入漏洞学习和回显poc研究
目录 前言 环境 基础学习和回显实验 语法基础 回显实验 BufferedReader Scanner ...
java高版本下各种JNDI Bypass方法复现
目录 0 前言 1 Java高版本JNDI绕过的源代码分析 1.1 思路一的源码分析 1.2 思路二的源码分析 2 基于本地工厂类的利用 ...
java安全管理器SecurityManager介绍
java安全管理器类SecurityManager简单剖析: javadoc介绍: SecurityManager应用场景: 当运行未知的Java程序的时候,该程序可能有恶意代码( ...
通过CVE-2021-43297漏洞在Apache Dubbo<=2.7.13下实现RCE
目录 0 前言 1 找源头 1.1 找到触发点 1.2 可用的gadget 1.3 向上推触发点 2 构造poc ...