W1one / javasec Public

forked from Maskhe/javasec

Notifications You must be signed in to change notification settings
Fork 0
Star 0

自己学习java安全的一些总结,主要是安全审计相关

0 stars 214 forks Branches Tags Activity

Star

Notifications

W1one/javasec

Branches Tags

Folders and files

Name		Name	Last commit message	Last commit date
Latest commit History 17 Commits
attack_rmi		attack_rmi
debug_tricks		debug_tricks
debug_tricks2		debug_tricks2
dubbo_unser		dubbo_unser
fastjson1224		fastjson1224
jmx		jmx
jndi		jndi
log4j_unser		log4j_unser
reflect		reflect
rmi		rmi
ser_example1		ser_example1
serialization		serialization
tomcat_ajp_lfi		tomcat_ajp_lfi
weblogic_xmldecoder		weblogic_xmldecoder
xmldecoder		xmldecoder
xxe1		xxe1
xxe_patch		xxe_patch
1.java反射机制.md		1.java反射机制.md
2.java序列化与反序列化.md		2.java序列化与反序列化.md
3. apache commons-collections中的反序列化.md		3. apache commons-collections中的反序列化.md
4.log4j的反序列化.md		4.log4j的反序列化.md
5.IDEA调试技巧1.md		5.IDEA调试技巧1.md
6.java rmi基础.md		6.java rmi基础.md
7.攻击rmi的方式.md		7.攻击rmi的方式.md
AMF3反序列化.md		AMF3反序列化.md
Apache Dubbo反序列化漏洞分析.md		Apache Dubbo反序列化漏洞分析.md
IDEA调试技巧2——远程调试.md		IDEA调试技巧2——远程调试.md
README.md		README.md
SnakeYaml反序列化.md		SnakeYaml反序列化.md
Weblogic之XMLDecoder反序列化1(CVE-2017-3506).md		Weblogic之XMLDecoder反序列化1(CVE-2017-3506).md
XMLDecoder反序列化.md		XMLDecoder反序列化.md
XStream反序列化.md		XStream反序列化.md
XXE之DocumentBuilder.md		XXE之DocumentBuilder.md
XXE之XML解析常用库的使用案例.md		XXE之XML解析常用库的使用案例.md
XXE之setFeature防御.md		XXE之setFeature防御.md
fastjson-1.2.24反序列化漏洞.md		fastjson-1.2.24反序列化漏洞.md
jmx安全问题.md		jmx安全问题.md
jndi注入.md		jndi注入.md
tomcat ajp任意文件包含漏洞分析.md		tomcat ajp任意文件包含漏洞分析.md
wechat.png		wechat.png

Repository files navigation

javasec

这是我在学习java安全审计的一些总结,每篇文章可能都不会很长,可能就只是讲一个知识点,但是文章越短,我才越容易坚持下去把这系列文章写完〜

本系列文章不求把每个细节都覆盖到,但求把提到的每个知识点用通俗易懂的话阐述出来

文章体系规划(待完善):

JAVA反射机制

JAVA动态代理机制

JAVA序列化与反序列化机制

常见的pop gadgets以及一些反序列化漏洞案例

RMI基础

攻击RMI的方式

结合自己写的demo以及真实漏洞案例

JNDI注入

几句话讲解原理,再结合几个真实漏洞案例:fastjson、spring的jndi注入案例

JMX的安全问题

JDK中其它的一些反序列化

XXE

几种常见的解析xml的jar包,以及他们的漏洞点,防御手法

JAVA表达式安全问题

SQL注入

JWT安全问题

Spring框架基础知识

Struts2框架基础知识

SSRF

主要是各种方法,各个jar包

各大大型应用、类库的漏洞

weblogic系列、spring系列、fastjson系列、jackson系列、solr、jboss、tomcat、struts2....

这系列文章写完怕是要两三个月.....

后续连载以及文章结构完善~~(削除) 大概 (削除ここまで)~~会优先在我搁置一年的微信公众号发布(之间觉得公众号插图片太麻烦了就搁置了,现在好像能够插外链图片了?尝试更新中.....)

About

自己学习java安全的一些总结,主要是安全审计相关

Releases

No releases published

Packages

No packages published

Navigation Menu

Search code, repositories, users, issues, pull requests...

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

W1one/javasec

Folders and files

Latest commit

History

Repository files navigation

javasec

JAVA反射机制

JAVA动态代理机制

JAVA序列化与反序列化机制

RMI基础

攻击RMI的方式

JNDI注入

JMX的安全问题

JDK中其它的一些反序列化

XXE

JAVA表达式安全问题

SQL注入

JWT安全问题

Spring框架基础知识

Struts2框架基础知识

SSRF

各大大型应用、类库的漏洞

About

Resources

Uh oh!

Stars

Watchers

Forks

Releases

Packages

W1one/javasec

Folders and files

Latest commit

History

Repository files navigation

javasec

JAVA反射机制

JAVA动态代理机制

JAVA序列化与反序列化机制

RMI基础

攻击RMI的方式

JNDI注入

JMX的安全问题

JDK中其它的一些反序列化

XXE

JAVA表达式安全问题

SQL注入

JWT安全问题

Spring框架基础知识

Struts2框架基础知识

SSRF

各大大型应用、类库的漏洞

About

Resources

Uh oh!

Stars

Watchers

Forks

Releases

Packages 0

Packages