0x00 前言
java代碼審計相關文章整理,持續更新。
0x01 java環境基礎
0x02 java語法知識
0x03 代碼審計系列
0x04 反序列化
- Java_JSON反序列化之殤_看雪安全開發者峰會
- 從反射鏈的構造看Java反序列漏洞
- Java反序列化漏洞從理解到實踐
- Java 序列化與反序列化安全分析
- Java-Deserialization-Cheat-Sheet
- 如何攻擊Java反序列化過程
- 深入理解JAVA反序列化漏洞
- Attacking Java Deserialization
- jackson反序列化詳細分析
- Java安全之反序列化漏洞分析
- fastjson 反序列化漏洞 POC 分析
- Apache Commons Collections反序列化漏洞學習
- bit4師傅的從0開始學習反序列化
- Java反序列化漏洞之殤
- Java反序列化漏洞從入門到深入
- Java反序列化備忘錄
- 先知java反序列化集合
0x05 安全編碼集合
0x06 漏洞分析
apache基金會
Adobe ColdFusion反序列化RCE漏洞分析(CVE-2019-7091)
Apache Solr RCE—【CVE-2019-0192】
Apache JMeter rmi 反序列化—【CVE-2018-1297】
Apache Solr XXE漏洞分析 -【CVE-2018-8026 】
Apache Tomcat安全繞過漏洞(CVE-2018-1305)
CVE-2017-12623 Apache NiFi xxe
Apache ActiveMQ Artemis 反序列化—【CVE-2016-4978】
Apache Fineract SQL Inject—【CVE-2017-5663】
Apache FOP-XXE—【CVE-2017-5661】
Apache Batik XXE—【CVE-2017-5662】
Apache Struts2 Freemarker標簽遠程執行漏洞分析和復現(S2-053)
Apache Synapse遠程命令執行漏洞分析—【CVE-2017-15708】
Apache Tika 任意代碼執行詳細分析Poc—【CVE-2016-6809】
jenkins
Jenkins RCE分析(CVE-2018-1000861分析)
Hacking Jenkins Part 1 - Play with Dynamic Routing
Hacking Jenkins Part 2 - Abusing Meta Programming for Unauthenticated RCE!
Spring Boot Actuator
Exploiting Spring Boot Actuators
Attack Spring Boot Actuator via jolokia Part 1
Attack Spring Boot Actuator via jolokia Part 2
Nexus Repository Manager 3
Nexus Repository Manager 3 遠程代碼執行漏洞 (CVE-2019-7238) 分析及利用
0x07 其他
- 關於 JNDI 注入
- 層層放大java審計的攻擊面
- 以Java的視角來聊聊SQL注入
- 站在Java的視角,深度分析防不勝防的小偷——“XSS”
- 你的 Java web 配置安全嗎?
- spring任意文件讀取
- 在 Runtime.getRuntime().exec(String cmd) 中執行任意shell命令的幾種方法
- ysoserial 分析系列
- sec-news集合
- sec-wiki集合
- 先知文章集合
0x08 參考博客
(不分排名)