Skip to content
/ javasec Public

自己学习java安全的一些总结,主要是安全审计相关

License

MIT license
1.6k stars 209 forks Branches Tags Activity
Star
Notifications You must be signed in to change notification settings

Maskhe/javasec

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

28 Commits
attack_rmi
attack_rmi
 
 
class_loading
class_loading
 
 
class_structure
class_structure
 
 
debug_tricks
debug_tricks
 
 
debug_tricks2
debug_tricks2
 
 
dubbo_unser
dubbo_unser
 
 
dynamic_proxy
dynamic_proxy
 
 
fastjson1224
fastjson1224
 
 
hotspot
hotspot
 
 
jmx
jmx
 
 
jndi
jndi
 
 
log4j_unser
log4j_unser
 
 
reflect
reflect
 
 
rmi
rmi
 
 
ser_example1
ser_example1
 
 
serialization
serialization
 
 
storage_structure
storage_structure
 
 
tomcat_ajp_lfi
tomcat_ajp_lfi
 
 
weblogic_xmldecoder
weblogic_xmldecoder
 
 
xmldecoder
xmldecoder
 
 
xxe1
xxe1
 
 
xxe_patch
xxe_patch
 
 
.DS_Store
.DS_Store
 
 
1.java反射机制.md
1.java反射机制.md
 
 
10.jmx安全问题.md
10.jmx安全问题.md
 
 
14.XXE之DocumentBuilder.md
14.XXE之DocumentBuilder.md
 
 
15.XXE之XML解析常用库的使用案例.md
15.XXE之XML解析常用库的使用案例.md
 
 
16.XXE之setFeature防御.md
16.XXE之setFeature防御.md
 
 
17.XMLDecoder反序列化.md
17.XMLDecoder反序列化.md
 
 
18.Weblogic之XMLDecoder反序列化1_CVE-2017-3506.md
18.Weblogic之XMLDecoder反序列化1_CVE-2017-3506.md
 
 
2.java序列化与反序列化.md
2.java序列化与反序列化.md
 
 
3. apache commons-collections中的反序列化.md
3. apache commons-collections中的反序列化.md
 
 
4.Apache Dubbo反序列化漏洞分析.md
4.Apache Dubbo反序列化漏洞分析.md
 
 
4.log4j的反序列化.md
4.log4j的反序列化.md
 
 
5.IDEA调试技巧1.md
5.IDEA调试技巧1.md
 
 
5.IDEA调试技巧2——远程调试.md
5.IDEA调试技巧2——远程调试.md
 
 
6.java rmi基础.md
6.java rmi基础.md
 
 
7.攻击rmi的方式.md
7.攻击rmi的方式.md
 
 
8.jndi注入.md
8.jndi注入.md
 
 
9.fastjson-1.2.24反序列化漏洞.md
9.fastjson-1.2.24反序列化漏洞.md
 
 
AMF3反序列化.md
AMF3反序列化.md
 
 
LICENSE
LICENSE
 
 
README.md
README.md
 
 
SnakeYaml反序列化.md
SnakeYaml反序列化.md
 
 
XStream反序列化.md
XStream反序列化.md
 
 
java动态代理.md
java动态代理.md
 
 
jvm-Class文件的结构.md
jvm-Class文件的结构.md
 
 
jvm-hotspot虚拟机对象探秘.md
jvm-hotspot虚拟机对象探秘.md
 
 
jvm-字节码指令.md
jvm-字节码指令.md
 
 
jvm-类加载机制.md
jvm-类加载机制.md
 
 
jvm内存区域.md
jvm内存区域.md
 
 
tomcat ajp任意文件包含漏洞分析.md
tomcat ajp任意文件包含漏洞分析.md
 
 
wechat.png
wechat.png
 
 

Repository files navigation

javasec

GitHub

这是我在学习java安全审计的一些总结,每篇文章可能都不会很长,可能就只是讲一个知识点,但是文章越短,我才越容易坚持下去把这系列文章写完~

本系列文章不求把每个细节都覆盖到,但求把提到的每个知识点用通俗易懂的话阐述出来

文章体系规划(待完善):

JAVA反射机制

java反射机制

JAVA动态代理机制

java动态代理

JAVA序列化与反序列化机制

常见的pop gadgets以及一些反序列化漏洞案例

java序列化与反序列化

apache commons-collections中的反序列化利用链

Apache Dubbo反序列化漏洞分析

log4j的反序列化漏洞分析

IDEA调试技巧

IDEA调试技巧1

IDEA调试技巧2——远程调试

RMI基础

java rmi基础

攻击RMI的方式

结合自己写的demo以及真实漏洞案例

攻击rmi的方式

JNDI注入

几句话讲解原理,再结合几个真实漏洞案例:fastjson、spring的jndi注入案例

jndi注入

fastjson-1.2.24反序列化漏洞

JMX的安全问题

jmx安全问题

XXE

几种常见的解析xml的jar包,以及他们的漏洞点,防御手法

XXE之DocumentBuilder

XXE之XML解析常用库的使用案例

XXE之setFeature防御

JDK中其它的一些反序列化

XMLDecoder反序列化

Weblogic之XMLDecoder反序列化1(CVE-2017-3506)

JAVA表达式安全问题

SQL注入

JWT安全问题

Spring框架基础知识

Struts2框架基础知识

SSRF

主要是各种方法,各个jar包

各大大型应用、类库的漏洞

weblogic系列、spring系列、fastjson系列、jackson系列、solr、jboss、tomcat、struts2....

JVM基础

此部分内容虽是基础知识,但是对于漏洞挖掘也许并无多大助益,我在写作的过程中也只挑了我关注的内容,像jvm垃圾收集及调优部分内容就被我舍弃了

1.Class文件的结构

2.类加载机制

3.jvm内存区域

4.hotspot虚拟机对象探秘

5.字节码指令

About

自己学习java安全的一些总结,主要是安全审计相关

Resources

Readme

License

MIT license
Activity

Stars

1.6k stars

Watchers

27 watching

Forks

209 forks
Report repository

Releases

No releases published

Packages

No packages published