TOP 欢迎购买我的新书《Java代码审计(入门篇)》 关于这本书这本书在去年 12 月就已经写完,从修改时到发售,历经 7 个月的时间,十分不易这本书非常适合新人入门,算是我的系列文章【Java 代码审计入门】的横纵延伸(这也是【Java 代码审计入门】系列文章那么久... 生活 2021-07-15 1 2029 字 3230
TOP 欢迎关注我的微信公众号 为什么会有这个公众号作为过去式的 blog 其实已经不太能满足移动端读者的需要,很多时候人们更愿意利用碎片化的时间、利用手机来阅读信息因此也萌发了要搞一个手机端平台的想法其实写博客对于我来说是一个有了将近10年的习... 安全研究 2021-06-13 评论 485 字 3394
JVM字节码学习笔记——class 文件结构 0x01 前言本系列学习笔记均来自《深入理解 JVM 字节码》(作者:张亚),本笔记仅用于个人学习知识总结。对于学习 java 安全、想了解 JVM 字节码的童鞋们强烈建议购买正版书去阅读。0x02 class 文... 技术杂谈 2021-09-28 评论 16586 字 844
支付宝技术部招聘高级业务安全工程师/业务安全专家 ,欢迎勾搭! 团队介绍支付宝技术部业务安全技术团队致力于为支付宝核心业务提供业务安全、SDL安全研发、风险检测及对抗相关能力和安全保障服务。团队大牛带队,小伙伴给力,现寻求SDL方向的小伙伴共谋益事!岗位信息职位:高级业务安全工... 生活 2021-09-22 评论 716 字 984
用一个 case 去理解 jdk8u20 原生反序列化漏洞 0x01 写在前面jdk8u20原生反序列化漏洞是一个非常经典的漏洞,也是我分析过最复杂的漏洞之一。在这个漏洞里利用了大量的底层的基础知识,同时也要求读者对反序列化的流程、序列化的数据结构有一定的了解本文结合笔者自... 安全研究 2021-06-30 评论 37643 字 2984
JEP290的基本概念 JEP2900x01 什么是JEP?JDK Enhancement Proposal 简称JEP,是 JDK 增强提议的一个项目,目前索引编号已经达到了JEP415,本文重点来谈谈什么是JEP290,JEP290做... 安全研究 2021-06-25 评论 7449 字 2881
反序列化流程分析总结 0x01 写在前面同前一篇的分析方法一样,推荐复制demo代码,然后一步一步跟随笔者的分析进行debug调试跟随,这样跟能够帮助读者理解此文。0x02 流程分析在上一篇《 序列化流程分析总结》一文中我提到了所谓的序... 安全研究 2021-06-13 评论 14669 字 3306
序列化流程分析总结 目录0x01 写在前面本文写的比较细,推荐复制demo代码,然后一步一步跟随笔者的分析进行debug调试跟随,这样跟能够帮助读者理解此文。0x02 流程分析所谓的序列化即是一个将对象写入到IO流中的过程。序列化的步... 安全研究 2021-06-13 评论 19323 字 3356
《Object Serialization Stream Protocol/对象序列化流协议》总结 目录0、写在前面本文主要是《Object Serialization Stream Protocol》一文的翻译,然后对序列化格式进行了一些总结1、概述stream 格式满足以下设计目标:结构紧凑,便于高效阅读;... 技术杂谈 2021-06-10 评论 13679 字 3395
JDK7u21反序列化漏洞分析笔记 目录0x01 写在前面JDK7u21原生gadget链的构造十分经典,在对于其构造及思想学习后,写下本文作为笔记。0x02 所需的知识点JDK7u21这个链用了很多的Java基础知识点,主要如下:Java 反射ja... 安全研究 2021-06-10 评论 32023 字 3308
微擎 CMS:从 SQL 到 RCE 目录0x01 写在前面微擎 CMS 在 2.0 版本的时候悄咪咪修复了一处 SQL 注入漏洞:该处的注入漏洞网上没有出现过分析文章,因此本文就来分析一下该处 SQL 注入的利用。0x02 影响版本经过测试发现,官网... 代码审计 2021-05-31 评论 13542 字 4251
