Skip to content
/ javasec Public
forked from Maskhe/javasec

自己学习java安全的一些总结,主要是安全审计相关

2 stars 210 forks Branches Tags Activity
Star
Notifications You must be signed in to change notification settings

gcxtx/javasec

BranchesTags
 
 

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

17 Commits
attack_rmi
attack_rmi
 
 
debug_tricks
debug_tricks
 
 
debug_tricks2
debug_tricks2
 
 
dubbo_unser
dubbo_unser
 
 
fastjson1224
fastjson1224
 
 
jmx
jmx
 
 
jndi
jndi
 
 
log4j_unser
log4j_unser
 
 
reflect
reflect
 
 
rmi
rmi
 
 
ser_example1
ser_example1
 
 
serialization
serialization
 
 
tomcat_ajp_lfi
tomcat_ajp_lfi
 
 
weblogic_xmldecoder
weblogic_xmldecoder
 
 
xmldecoder
xmldecoder
 
 
xxe1
xxe1
 
 
xxe_patch
xxe_patch
 
 
1.java反射机制.md
1.java反射机制.md
 
 
2.java序列化与反序列化.md
2.java序列化与反序列化.md
 
 
3. apache commons-collections中的反序列化.md
3. apache commons-collections中的反序列化.md
 
 
4.log4j的反序列化.md
4.log4j的反序列化.md
 
 
5.IDEA调试技巧1.md
5.IDEA调试技巧1.md
 
 
6.java rmi基础.md
6.java rmi基础.md
 
 
7.攻击rmi的方式.md
7.攻击rmi的方式.md
 
 
AMF3反序列化.md
AMF3反序列化.md
 
 
Apache Dubbo反序列化漏洞分析.md
Apache Dubbo反序列化漏洞分析.md
 
 
IDEA调试技巧2——远程调试.md
IDEA调试技巧2——远程调试.md
 
 
README.md
README.md
 
 
SnakeYaml反序列化.md
SnakeYaml反序列化.md
 
 
Weblogic之XMLDecoder反序列化1(CVE-2017-3506).md
Weblogic之XMLDecoder反序列化1(CVE-2017-3506).md
 
 
XMLDecoder反序列化.md
XMLDecoder反序列化.md
 
 
XStream反序列化.md
XStream反序列化.md
 
 
XXE之DocumentBuilder.md
XXE之DocumentBuilder.md
 
 
XXE之XML解析常用库的使用案例.md
XXE之XML解析常用库的使用案例.md
 
 
XXE之setFeature防御.md
XXE之setFeature防御.md
 
 
fastjson-1.2.24反序列化漏洞.md
fastjson-1.2.24反序列化漏洞.md
 
 
jmx安全问题.md
jmx安全问题.md
 
 
jndi注入.md
jndi注入.md
 
 
tomcat ajp任意文件包含漏洞分析.md
tomcat ajp任意文件包含漏洞分析.md
 
 
wechat.png
wechat.png
 
 

Repository files navigation

javasec

这是我在学习java安全审计的一些总结,每篇文章可能都不会很长,可能就只是讲一个知识点,但是文章越短,我才越容易坚持下去把这系列文章写完~

本系列文章不求把每个细节都覆盖到,但求把提到的每个知识点用通俗易懂的话阐述出来

文章体系规划(待完善):

JAVA反射机制

JAVA动态代理机制

JAVA序列化与反序列化机制

常见的pop gadgets以及一些反序列化漏洞案例

RMI基础

攻击RMI的方式

结合自己写的demo以及真实漏洞案例

JNDI注入

几句话讲解原理,再结合几个真实漏洞案例:fastjson、spring的jndi注入案例

JMX的安全问题

JDK中其它的一些反序列化

XXE

几种常见的解析xml的jar包,以及他们的漏洞点,防御手法

JAVA表达式安全问题

SQL注入

JWT安全问题

Spring框架基础知识

Struts2框架基础知识

SSRF

主要是各种方法,各个jar包

各大大型应用、类库的漏洞

weblogic系列、spring系列、fastjson系列、jackson系列、solr、jboss、tomcat、struts2....

这系列文章写完怕是要两三个月.....

后续连载以及文章结构完善大概会优先在我搁置一年的微信公众号发布(之间觉得公众号插图片太麻烦了就搁置了,现在好像能够插外链图片了?尝试更新中.....)

About

自己学习java安全的一些总结,主要是安全审计相关

Resources

Readme
Activity

Stars

2 stars

Watchers

0 watching

Forks

0 forks
Report repository

Releases

No releases published

Packages

No packages published