Skip to content

Maskhe/javasec

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

28 Commits

attack_rmi

attack_rmi

 
 

class_loading

class_loading

 
 

class_structure

class_structure

 
 

debug_tricks

debug_tricks

 
 

debug_tricks2

debug_tricks2

 
 

dubbo_unser

dubbo_unser

 
 

dynamic_proxy

dynamic_proxy

 
 

fastjson1224

fastjson1224

 
 

hotspot

hotspot

 
 

jmx

jmx

 
 

jndi

jndi

 
 

log4j_unser

log4j_unser

 
 

reflect

reflect

 
 

rmi

rmi

 
 

ser_example1

ser_example1

 
 

serialization

serialization

 
 

storage_structure

storage_structure

 
 

tomcat_ajp_lfi

tomcat_ajp_lfi

 
 

weblogic_xmldecoder

weblogic_xmldecoder

 
 

xmldecoder

xmldecoder

 
 

xxe1

xxe1

 
 

xxe_patch

xxe_patch

 
 

.DS_Store

.DS_Store

 
 

1.java反射机制.md

1.java反射机制.md

 
 

10.jmx安全问题.md

10.jmx安全问题.md

 
 

14.XXE之DocumentBuilder.md

14.XXE之DocumentBuilder.md

 
 

15.XXE之XML解析常用库的使用案例.md

15.XXE之XML解析常用库的使用案例.md

 
 

16.XXE之setFeature防御.md

16.XXE之setFeature防御.md

 
 

17.XMLDecoder反序列化.md

17.XMLDecoder反序列化.md

 
 

18.Weblogic之XMLDecoder反序列化1_CVE-2017-3506.md

18.Weblogic之XMLDecoder反序列化1_CVE-2017-3506.md

 
 

2.java序列化与反序列化.md

2.java序列化与反序列化.md

 
 

3. apache commons-collections中的反序列化.md

3. apache commons-collections中的反序列化.md

 
 

4.Apache Dubbo反序列化漏洞分析.md

4.Apache Dubbo反序列化漏洞分析.md

 
 

4.log4j的反序列化.md

4.log4j的反序列化.md

 
 

5.IDEA调试技巧1.md

5.IDEA调试技巧1.md

 
 

5.IDEA调试技巧2——远程调试.md

5.IDEA调试技巧2——远程调试.md

 
 

6.java rmi基础.md

6.java rmi基础.md

 
 

7.攻击rmi的方式.md

7.攻击rmi的方式.md

 
 

8.jndi注入.md

8.jndi注入.md

 
 

9.fastjson-1.2.24反序列化漏洞.md

9.fastjson-1.2.24反序列化漏洞.md

 
 

AMF3反序列化.md

AMF3反序列化.md

 
 

LICENSE

LICENSE

 
 

README.md

README.md

 
 

SnakeYaml反序列化.md

SnakeYaml反序列化.md

 
 

XStream反序列化.md

XStream反序列化.md

 
 

java动态代理.md

java动态代理.md

 
 

jvm-Class文件的结构.md

jvm-Class文件的结构.md

 
 

jvm-hotspot虚拟机对象探秘.md

jvm-hotspot虚拟机对象探秘.md

 
 

jvm-字节码指令.md

jvm-字节码指令.md

 
 

jvm-类加载机制.md

jvm-类加载机制.md

 
 

jvm内存区域.md

jvm内存区域.md

 
 

tomcat ajp任意文件包含漏洞分析.md

tomcat ajp任意文件包含漏洞分析.md

 
 

wechat.png

wechat.png

 
 

Repository files navigation

javasec

GitHub

这是我在学习java安全审计的一些总结,每篇文章可能都不会很长,可能就只是讲一个知识点,但是文章越短,我才越容易坚持下去把这系列文章写完~

本系列文章不求把每个细节都覆盖到,但求把提到的每个知识点用通俗易懂的话阐述出来

文章体系规划(待完善):

JAVA反射机制

java反射机制

JAVA动态代理机制

java动态代理

JAVA序列化与反序列化机制

常见的pop gadgets以及一些反序列化漏洞案例

java序列化与反序列化

apache commons-collections中的反序列化利用链

Apache Dubbo反序列化漏洞分析

log4j的反序列化漏洞分析

IDEA调试技巧

IDEA调试技巧1

IDEA调试技巧2——远程调试

RMI基础

java rmi基础

攻击RMI的方式

结合自己写的demo以及真实漏洞案例

攻击rmi的方式

JNDI注入

几句话讲解原理,再结合几个真实漏洞案例:fastjson、spring的jndi注入案例

jndi注入

fastjson-1.2.24反序列化漏洞

JMX的安全问题

jmx安全问题

XXE

几种常见的解析xml的jar包,以及他们的漏洞点,防御手法

XXE之DocumentBuilder

XXE之XML解析常用库的使用案例

XXE之setFeature防御

JDK中其它的一些反序列化

XMLDecoder反序列化

Weblogic之XMLDecoder反序列化1(CVE-2017-3506)

JAVA表达式安全问题

SQL注入

JWT安全问题

Spring框架基础知识

Struts2框架基础知识

SSRF

主要是各种方法,各个jar包

各大大型应用、类库的漏洞

weblogic系列、spring系列、fastjson系列、jackson系列、solr、jboss、tomcat、struts2....

JVM基础

此部分内容虽是基础知识,但是对于漏洞挖掘也许并无多大助益,我在写作的过程中也只挑了我关注的内容,像jvm垃圾收集及调优部分内容就被我舍弃了

1.Class文件的结构

2.类加载机制

3.jvm内存区域

4.hotspot虚拟机对象探秘

5.字节码指令

About

自己学习java安全的一些总结,主要是安全审计相关

Resources

Readme

License

MIT license
Activity

Stars

1.4k stars

Watchers

26 watching

Forks

201 forks
Report repository

Releases

No releases published

Packages

No packages published