Java安全之Axis漏洞分析 0x00 前言 看到個別代碼常出現里面有一些Axis組件，沒去仔細研究過該漏洞。研究記錄一下。 0x01 漏洞復現 漏洞版本：axis=<1.4 Axis1.4 freemarker 下載Axis包1.4版本將Axis放到tomcat ...

Java安全之Fastjson反序列化漏洞分析 首發：先知論壇 0x00 前言 在前面的RMI和JNDI注入學習里面為本次的Fastjson打了一個比較好的基礎。利於后面的漏洞分析。 0x01 Fastjson使用 在分析漏洞前，還需要學習一些Fastjson庫的簡單使用 ...

Java安全之Cas反序列化漏洞分析 0x00 前言 某次項目中遇到Cas，以前沒接觸過，借此機會學習一波。 0x01 Cas 簡介 CAS 是 Yale 大學發起的一個開源項目，旨在為 Web 應用系統提供一種可靠的單點登錄方法，CAS 在 2004 年 12 月正式成為 JA-SIG ...

Java安全之JBoss反序列化漏洞分析 0x00 前言 看到網上的Jboss分析文章較少，從而激發起了興趣。前段時間一直沉迷於工具開發這塊，所以打算將jboss系列反序列化漏洞進行分析並打造成GUI的工具集。當然反序列化回顯這塊也是需要解決的一大問題之一，所以下面會出一系列文章對該漏洞的分析 ...

Java安全之Dubbo反序列化漏洞分析 0x00 前言 最近天氣冷，懶癌又犯了，加上各種項目使得本篇文斷斷續續。 0x01 Dubbo 概述 Dubbo是阿里巴巴開源的基於 Java 的高性能 RPC（一種遠程調用） 分布式服務框架（SOA），致力於提供高性能和透明化的RPC遠程服務 ...

Java安全之log4j反序列化漏洞分析 0x00 前言 前段時間在看某個cms代碼的時候，發現log4j組件版本存在漏洞，並且開啟了端口，但web站點是nginx反向代理的，而在外網並沒有開放到該端口，所以並沒有利用成功。但該漏洞遇到的比較少，就算一些cms中log4j組件版本存在漏洞 ...

Java安全之Shiro 550反序列化漏洞分析 首發自安全客：Java安全之Shiro 550反序列化漏洞分析 0x00 前言 在近些時間基本都能在一些滲透或者是攻防演練中看到Shiro的身影，也是Shiro的該漏洞也是用的比較頻繁的漏洞。本文對該Shiro550 反序列化漏洞進行一個分析 ...

SSRF漏洞 SSRF漏洞 SSRF意為服務端請求偽造(Server-Side Request Forge)。攻擊者利用SSRF漏洞通過服務器發起偽造請求，就這樣可以訪問內網的數據，進行內網信息探測或者內網漏洞利用 SSRF漏洞形成的原因是:應用程序存在可以從其他服務器獲取數據的功能 ...