Ale W0ng's Blog

title: Fastjson < 1.2.68版本反序列化漏洞分析篇catalog: truedate: 2020-09-14 14:15:50subtitle:header-img:tags:categories: Java代码审计 Fastjson < 1.2.68版本反序列化漏洞分析篇前言迟到的Fastjson反序列化漏洞分析，按照国际惯例这次依旧没有放poc。道理还是那......

前言本系列博文是《Java核心技术 卷一》的读书笔记，内容仅供参考。面向对象程序概述OOP 面向对象的程序是由对象组成的，每个对象包含对用户【公开的特定功能部分】和【隐藏的实现部分】。很多对象来自标准库。OOP中先组织数据，再确定如何操作数据的算法。 类类(class)是构造对象的蓝图或模版。Java编写的所有代码都位于某个类的内部。 封装 Encapsulation 数据隐藏封装将数据和行......

前言本系列博文是《Java核心技术 卷一》的读书笔记，内容仅供参考。一个简单的Java应用程序Java区分大小写12345public class Study { public static void main(String[] args){ System.out.println("We start study Java today !"); &......

Fastjson < 1.2.48版本 RCE漏洞复现与分析前言这是我第一次接触Java，第一次学习漏洞分析，有很多东西不懂和写的不全，请各位多多指导 一、漏洞背景AutoTypefastjson将Java Bean序列化成JSON字符串，这样可以将得到字符串通过数据库等方式进行持久化了。但是fastjson并没有利用Java自带的序列化机制，而是自定义了一套机制。通过AutoType......

Apache Solr RCE via-Velocity-template参考链接 漏洞产生原因： 当攻击者可以直接访问Solr控制台时，可以通过发送类似/节点名/config的POST请求对该节点的配置文件做更改。 Apache Solr默认集成VelocityResponseWriter插件，在该插件的初始化参数中的params.resource.loader.enabled这个选项是用......