搜索中心

蓝军的最终目标是业务权限或者数据，而非机器，这里探索了java内存马在此方面的应用。

预览

预览

预览

预览

409人阅读

2024-08-26

Java安全之XStream漏洞分析与利用

SpringSecurity 是在java开发中，很常用的一个库，用于身份验证、授权和安全性等功能上，在我们白盒测试的时候，可以通过分析代码是否使用SpringSecurity，从而来寻找是否存在权限绕过的漏洞。本文将介绍一些SpringSecurity常见的权限绕过漏洞。

好久没有分析CC链了，今天来把最后一个CC7分析一下。

之前简单学习了JAVA反序列化和URLDNS这条利用链，讲过的基础就不再赘述了，今天来学习CommonCollections这条利用链。

在java项目中，经常会使用一些监控类的组件来监控系统的状态，如果对这些组件没有做好权限控制，公网可以任意访问的话，就会泄露敏感信息，进一步造成更严重的危害。今天就来看一下，都有哪些组件。

java el 2.1 表达式注入payload(复现上古版本nexus rce)

当完美主义者遇到Java反序列化

欢迎各位指导补充

尝试卷入 Java 安全

2019补完计划

java源代码审计-sql注入

前言Java技术栈漏洞目前业已是web安全领域的主流战场，随着IPS、RASP等防御系统的更新迭代，Java

Xcheck java安全检查引擎介绍与CVE-2014-3582 检测。

学习Java XMLDecode反序列化笔记

在红队行动中经常会遇到拿到Webshell后找不到数据库密码存放位置或者是数据库密码被加密的情况(需要逆向代码查找解密逻辑)。在此提出两种在从运行时获取所有的数据库连接信息(密码)的方式

马斯克薪酬案再起波澜：股东反对 72 亿美元天价律师费；苹果股价创 52 周新高，总市值超微软重回美股第一；小米第三款车是增程 SUV

反序列化的流程总结，确定不了解一下？

【Java 代码审计入门-04】SSRF 漏洞原理与实际案例介绍

【Java 代码审计入门-05】RCE 漏洞原理与实际案例介绍

厂商

飞天诚信

567

0

飞天诚信科技股份有限公司是嵌入式操作系统及数字安全系统整体解决方案的提供商和服务商，专注于数字经济的两个核心领域：身份认证和支付安全。