Ale W0ng's Blog

知其雄,守其雌

Fastjson-1-2-68版本反序列化漏洞分析篇

title: Fastjson < 1.2.68版本反序列化漏洞分析篇catalog: truedate: 2020-09-14 14:15:50subtitle:header-img:tags:categories: Java代码审计 Fastjson < 1.2.68版本反序列化漏洞分析篇前言迟到的Fastjson反序列化漏洞分析,按照国际惯例这次依旧没有放poc。道理还是那......

【Java基础学习】第四章 对象与类

前言本系列博文是《Java核心技术 卷一》的读书笔记,内容仅供参考。面向对象程序概述OOP 面向对象的程序是由对象组成的,每个对象包含对用户【公开的特定功能部分】和【隐藏的实现部分】。很多对象来自标准库。OOP中先组织数据,再确定如何操作数据的算法。 类类(class)是构造对象的蓝图或模版。Java编写的所有代码都位于某个类的内部。 封装 Encapsulation 数据隐藏封装将数据和行......

【Java基础学习】第三章 Java基本程序设计结构

前言本系列博文是《Java核心技术 卷一》的读书笔记,内容仅供参考。一个简单的Java应用程序Java区分大小写12345public class Study { public static void main(String[] args){ System.out.println("We start study Java today !"); &......

Fastjson-1-2-48-RCE漏洞复现与分析

Fastjson < 1.2.48版本 RCE漏洞复现与分析前言这是我第一次接触Java,第一次学习漏洞分析,有很多东西不懂和写的不全,请各位多多指导 一、漏洞背景AutoTypefastjson将Java Bean序列化成JSON字符串,这样可以将得到字符串通过数据库等方式进行持久化了。但是fastjson并没有利用Java自带的序列化机制,而是自定义了一套机制。通过AutoType......
RCE

Apache Solr RCE via-Velocity-template漏洞复现与修复建议

Apache Solr RCE via-Velocity-template参考链接 漏洞产生原因: 当攻击者可以直接访问Solr控制台时,可以通过发送类似/节点名/config的POST请求对该节点的配置文件做更改。 Apache Solr默认集成VelocityResponseWriter插件,在该插件的初始化参数中的params.resource.loader.enabled这个选项是用......
RCE