Java安全之基於Tomcat的通用回顯鏈 寫在前面 首先看這篇文還是建議簡單了解下Tomcat中的一些概念，不然看起來會比較吃力。其次是回顧下反射中有關Field類的一些操作。 Tomcat 通用回顯 是Litch1師傅提出的一個思路，通過找Tomcat中全局存儲的request ...

Java安全之挖掘回顯鏈 0x00 前言 前文中敘述反序列化回顯只是為了拿到Request和Response對象。在這里說的的回顯鏈其實就是通過一連串反射代碼獲取到該Request對象。 在此之前想吹爆一個項目，Java Object Searcher項目地址。 0x01 回顯鏈挖掘 ...

Java安全之C3P0鏈利用與分析 0x00 前言 在一些比較極端情況下，C3P0鏈的使用還是挺頻繁的。 0x01 利用方式 利用方式 在C3P0中有三種利用方式 http base JNDI HEX序列化字節加載器 在原生的反序列化中如果找不到其他鏈，則可嘗試 ...

前言 從之前shiro、fastjson等反序列化漏洞剛曝出的時候，就接觸ysoserial的工具利用了，不過這么久都沒好好去學習過其中的利用鏈，這次先從其中的一個可以說是最簡單的利用鏈URLDNS開始學起。 分析 單獨看URLDNS的利用鏈，ysoserial的URLDNS代碼：https ...

簡述 ysoserial很強大，花時間好好研究研究其中的利用鏈對於了解java語言的一些特性很有幫助，也方便打好學習java安全的基礎，剛學反序列化時就分析過commoncollections，但是是跟着網上教程，自己理解也不夠充分，現在重新根據自己的調試進行理解，這篇文章先分析URLDNS ...

Ysoserial URLDNS鏈分析 文章首發安全客：https://www.anquanke.com/post/id/248004 0x00 寫在前面 Java提供了一種序列化的機制可以將一個Java對象進行序列化后，用一個字節序列表示，並在Java虛擬機之間或網絡間傳輸，之后可通過 ...

作者 湯志敏 阿里雲容器服務高級技術專家 汪聖平 阿里雲雲平台安全高級安全專家 導讀：從 Docker image 到 Helm, 從企業內部部署到全球應用分發，作為開發者的我們如何來保障應用的交付安全。本文會從軟件供應鏈的攻擊場景開始，介紹雲原生時代的應用交付標准演進和阿里雲上的最佳 ...

責任鏈模式 顧名思義，責任鏈模式（Chain of Responsibility Pattern）為請求創建了一個接收者對象的鏈。這種模式給予請求的類型，對請求的發送者和接收者進行解耦。這種類型的設計模式屬於行為型模式。 在這種模式中，通常每個接收者都包含對另一個接收者的引用 ...