Java RMI反序列化学习初步 前言 准备花时间对java安全方面进行研究，而RMI反序列化导致的RCE也是屡见不鲜，因此本文对RMI以及RMI安全方面进行一个叙述和探索，也是主要参考了P牛的java安全漫谈来一步一步进行了解，下面开始进入正文部分 RMI的简介 JAVA本身提供了一种RPC框架RMI即Java远程方法调用(Java Remote…

深入java反射机制 java反射原理 何为反射 反射是⼤大多数语⾔言⾥里里都必不不可少的组成部分，对象可以通过反射获取他的类，类可以通过反射拿到所有方法（包括私有），拿到的方法可以调⽤，总之通过“反射”，我们可以将Java这种静态语⾔言附加上动态特性。 反射的相关方法 在了解反射的相关方法前，必须对Class类有一个较为客观的认识: 获取Clas…

Author : Crispr blog : crisprx.top apache common collections 反序列化漏洞审计 前言 有了昨日的java基础后，今天准备的内容是一个经典的反序列化分析以及java反射的相关知识的学习，下面开始今天java学习的内容。 apache common collections 反序列化漏洞 首先我…

Author : Crispr blog : Crisprx.top Categories CTF java安全 RedTeam Writeup 研究及代码审计 反序列化初步 现在要开启java安全学习的坑了，想法是先从java最常见的安全漏洞入手，先把java漏洞成因和偏底层的原理掌握，再去跟一些主流框架的洞，最后尝试去分析等，也正好借此机会拜读…

从两道题浅看java安全 0x01 前言 java的web题一直是菜鸡觉得最难的，网鼎杯也出了一道web的java题，因此想结合以前做的java题来简单谈一谈java安全，那就先从网鼎杯的javafile开始吧。 0x02 正文 javafile 刚进入这道题就是一个文件上传的页面，先抓个包看看: 看到COOKIE是JSESSIONID，初步判断是…