月份:2022年10月

1 篇文章

Java安全杂烩(一)
Java安全杂烩(一) 0x01.JNDI在RMI中协议面临的攻击面 在RMI中,服务端可以绑定一个对象,客户端查找该对象时以序列化数据返回,服务端也同样支持绑定对象的引用,返回给客户端指定地址以获得这个对象 如下图所示,我们构建一个恶意的服务端,并且绑定了一个对象引用(注意这里的类应为全称): 当客户端进行lookup rmi://127.0.0…