标签: java

4 篇文章

Java代码审计入门篇:OWASP TOP 10 2017
Java代码审计入门篇:OWASP TOP 10 2017 注入 SQL注入 JDBC拼接不当造成SQL注入 JDBC有两种方法执行SQL语句,分别为PrepareStatement和Statement。 Statement对象的SQL注入 String sql = "select * from user where id = " + req.ge…
ysoserial 安装使用调试教程
ysoserial 安装使用调试教程 介绍 项目地址:https://github.com/angelwhu/ysoserial ysoserial是一款用于生成利用不安全的Java对象反序列化的有效负载的概念验证工具。 可获取的Java反序列化payload: # java -jar ysoserial-0.0.6-SNAPSHOT-all.ja…
URLDNS利用链分析
URLDNS利用链分析 原理 HashMap在反序列化的时候会对传进来的对象进行hash计算获取hashCode,而URL类中的hashCode属性在特殊情况下(hashCode==1)的hashCode计算将触发dns查询   代码分析 ysoserial中的URLDNS.java public class URLDNS implements O…
Java反序列化漏洞-基础篇
Java反序列化漏洞-基础篇 Java原生序列化与反序列化 概述 序列化与反序列化 Java序列化是指把Java对象转换为字节序列的过程;而Java反序列化是指把字节序列恢复为Java对象的过程。 序列化分为两大部分:序列化和反序列化。序列化是这个过程的第一部分,将数据分解成字节流,以便存储在文件中或在网络上传输。反序列化就是打开字节流并重构对象。…