之前分析了fastjson,jackson,都依賴於JDNI注入,即LDAP/RMI等偽協議 　　JNDI RMI基礎和fastjson低版本的分析:https://www.cnblogs.com/piaomiaohongchen/p/14780351.html 　　今天圍繞JNDI ...

0x00 前言 練習sql注入過程中經常會遇到一些WAF的攔截，在網上找相關文章進行學習，並通過利用安全狗來練習Mysql環境下的bypass。 0x01 一些特殊字符 1.注釋符號 /*!*/：內聯注釋，/*!12345union*/select等效union select ...

前言 小tip固然有用，但是掌握通用方法才能在特殊環境下柳暗花明，舉一反三 整篇博客從MYSQL_SQL_BYPASS_WIKI為基礎出發，討論SQL注入和bypass技巧思路（大部分都是直接照搬的hhh） MySQL數據庫簡單操作 建立數據庫 查詢所有數據庫 紅框中 ...

Java之JNDI注入 About JNDI 0x01 簡介 JNDI(Java Naming and Directory Interface)是SUN公司提供的一種標准的Java命名系統接口，JNDI提供統一的客戶端API，通過不同的訪問提供者接口JNDI服務供應接口(SPI)的實現 ...

Java安全之JNDI注入 文章首發：Java安全之JNDI注入 0x00 前言 續上篇文內容，接着來學習JNDI注入相關知識。JNDI注入是Fastjson反序列化漏洞中的攻擊手法之一。 0x01 JNDI 概述 JNDI(Java Naming and Directory ...

前言：作為JNDI與8u191前JNDI注入的一篇筆記 什么是JNDI JNDI(Java Naming and Directory Interface)是Java提供的Java 命名和目錄接口。通過調用JNDI的API應用程序可以定位資源和其他程序對象。 JNDI是Java EE的重要部分 ...

JNDI注入原理分析（RMI、JNDI） 簡介： JNDI（The java Naming and Directory Interface,java命名和目錄接口）是一組在Java應用中訪問命名和目錄服務器的API，命令服務將名稱和對象聯系起來，使得我們可以用名稱訪問對象 ...

最近有個用戶量 5W-10W 的 web 應用，頻繁導致 weblogic 崩潰，讓運維組很難受。 通過幾天跟蹤系統日志和 weblogic 運行狀況，發現報錯的姿勢有很多，其中對定位問 ...