2024-12-23 厉飞雨 阅读(335) 评论(0) 赞(13)

<p>工作也有几多年了，无论是身边遇到的还是耳间听闻的，多多少少也积攒了自己的一些经验和思考，当然，我并没有接触太多高大上的分布式架构实践，所以总结的经验相对比较零碎，欢迎大家随时补充。</p> <p><a href="http://static.51tbox.com/static/2024-12-22/col/b1ebb6e...

2024-12-23 厉飞雨 阅读(301) 评论(0) 赞(13)

<h2><strong>1、断电的威胁</strong></h2> <p>强大的Java帝国自成立一来， 一直顺风顺水， 可是外人不知道的是，帝国也有个致命的弱点， 那就是害怕一种叫做&quot;断电&quot;的攻击。</p> <p>每次攻击来临， 帝国辛辛苦苦制造出Java对...

2024-12-23 厉飞雨 阅读(260) 评论(0) 赞(13)

<p><img src="http://static.51tbox.com/static/2024-12-22/col/6d406cd3ce3dd08db7b1c050aad94819/32295872540e44e0989c753028e266a7.jpg.jpg" alt="Java AMF3曝远程代码执行漏洞_https:/...

2024-12-23 厉飞雨 阅读(246) 评论(0) 赞(12)

<p>研究人员最近发现，Java和Python运行时都存在漏洞，它们未能正确验证FTP URL中的特殊字符，最终导致黑客甚至能够绕过防火墙访问本地网络。</p> <p>上周六，安全研究员Alexander Klink公布了一种很有趣的攻击方式，他利用Java应用中的XXE(XML External Entity)漏洞发送邮件。XXE漏洞就是欺...

2024-12-23 厉飞雨 阅读(353) 评论(0) 赞(16)

<p>Nsfocus-TRC</p> <pre><code>title: “一种新的攻击方法——Java-Web-Expression-Language-Injection” date: 2014-06-24 16:36:56 +0800 comments: true categories: “安全技术” author: “申军利...

2024-12-23 厉飞雨 阅读(230) 评论(0) 赞(14)

<h1>0x00 前言</h1> <hr /> <p>关于java反序列化漏洞的原理分析，基本都是在分析使用<code>Apache Commons Collections</code>这个库，造成的反序列化问题。然而，在下载老外的<strong>ysoserial</strong>...

2024-12-23 厉飞雨 阅读(254) 评论(0) 赞(14)

<h1>0x00 前言</h1> <hr /> <p>关于JAVA的Apache Commons Collections组件反序列漏洞的分析文章已经有很多了，当我看完很多分析文章后，发现JAVA反序列漏洞的一些要点与细节未被详细描述，还需要继续分析之后才能更进一步理解并掌握这个漏洞。</p> <p>上述的要...

2024-12-23 厉飞雨 阅读(315) 评论(0) 赞(12)

<h1>0x00 前言</h1> <hr /> <p>本文主要针对JAVA服务器常见的危害较大的安全问题的成因与防护进行分析，主要为了交流和抛砖引玉。</p> <h1>0x01 任意文件下载</h1> <hr /> <h3>示例</h3> <p>以...

2024-12-23 厉飞雨 阅读(313) 评论(0) 赞(14)

<p>注:本节意在让大家了解客户端和服务器端的一个交互的过程,我个人不喜欢xss,对xss知之甚少所以只能简要的讲解下。这一节主要包含HttpServletRequest、HttpServletResponse、session、cookie、HttpOnly和xss,文章是年前几天写的本应该是有续集的但年后就没什么时间去接着续写了。由于工作并非安全行业，所以写的并不...

2024-12-23 厉飞雨 阅读(234) 评论(0) 赞(15)

0x00 JavaEE 基础 ============== *** ** * ** *** JSP: 全名为java server page，其根本是一个简化的[Servlet](http://baike.baidu.com/view/25169.htm)。 Servlet：Servlet是一种服务器端的Java应用程序，可以生成动态的Web页面。 JavaEE: Ja...