0x01 写在前面对 log4j2 漏洞的后续研究中，发现一些有趣的东西，记录分享一下0x02 log4j 真的在任何情况不存在 JNDI注入吗？首先提出一个问题，log4j 真的在任何情况不存在 JNDI注入吗？答案是否定的。翻阅 ...

0x01 写在前面2021 年 12 月 9 号注定是一个不眠之夜，著名的Apache Log4j 项目被爆存在远程代码执行漏洞，且利用简单，影响危害巨大，光是引入了 log4j2 依赖的组件都是数不清，更别提项目本身可能存在的风险了...

0x01 写在前面前段时间补上了迟迟没有写的 文件包含漏洞原理与实际案例介绍一文，在其中就提到了 Thymeleaf SSTI 漏洞，昨天在赛博群里三梦师傅扔了一个随手挖的 CVE——Thymeleaf SSTI Bypass，想着之...

0x00 写在前面为什么会有这一些列的文章呢？因为我发现网上没有成系列的文章或者教程，基本上是 Java 代码审计中某个点来阐述的，对于新人来说可能不是那么友好，加上本人也在学习 Java 审计，想做个学习历程的记录和总结，因此有了本...

请输入密码访问

0x01 前言本系列学习笔记均来自《深入理解 JVM 字节码》（作者：张亚），本笔记仅用于个人学习知识总结。对于学习 java 安全、想了解 JVM 字节码的童鞋们强烈建议购买正版书去阅读。0x02 class 文件结构java 是跨...

关于这本书这本书在去年 12 月就已经写完，从修改时到发售，历经 7 个月的时间，十分不易这本书非常适合新人入门，算是我的系列文章【Java 代码审计入门】的横纵延伸（这也是【Java 代码审计入门】系列文章那么久没有更新的原因）所以...

0x01 写在前面jdk8u20原生反序列化漏洞是一个非常经典的漏洞，也是我分析过最复杂的漏洞之一。在这个漏洞里利用了大量的底层的基础知识，同时也要求读者对反序列化的流程、序列化的数据结构有一定的了解本文结合笔者自身对该漏洞的了解，写...

JEP2900x01 什么是JEP?JDK Enhancement Proposal 简称JEP，是 JDK 增强提议的一个项目，目前索引编号已经达到了JEP415，本文重点来谈谈什么是JEP290，JEP290做了哪些事，JEP29...