分类: Web Security 学习

46 篇文章

thumbnail
基础补完计划 – Java 类加载器( ClassLoader )
前言 本章记录一下 Java 的 ClassLoader 机制。 JVM 内存模型 之前我只是粗略的了解 JVM 的内存模型,这里来简单记录下。 JVM 内存模型主要就是指 Java程序运行时的数据区,JVM 在执行 Java 程序的过程中会将它所管理的内存划分为 5 个不同的数据区域。这些数据区域如下所示: 虚拟机栈( VM Stack ) 本地…
thumbnail
CVE-2019-12422 Shiro721 ( Apache Shiro RememberMe Padding Oracle 1.4.1 反序列化漏洞) 分析[ 上 ]
前言 之前分析了 Shiro550 反序列化漏洞 , 今天我们来分析一波 Shiro721 反序列化漏洞 , 这两个漏洞都是最近比较火的 Apache Shiro RCE 漏洞. 由于篇幅原因 , Apache Shiro721 的分析分为两部分 , 一部分为基础知识介绍 , 环境搭建 , 漏洞复现 , 一部分为漏洞代码调试分析. 本章内容为第一部…
thumbnail
CVE-2016-4437 Shiro550 ( Apache Shiro RememberMe 1.2.4 反序列化漏洞 ) 分析
前言 这两天调试 Shiro550 ( CVE-2016-4437 ) 这个反序列化漏洞 , 这个漏洞近期有很多前辈已经分析过了 , 因此这里只是简单记录下我的调试过程. Apache Shiro550 Apache Shiro550 简介 Apache Shiro 是一个功能强大且易于使用的 Java 安全框架,它用于处理身份验证,授权,加密和会…
thumbnail
Java 反序列化漏洞(14) – 解密 YSoSerial : BeanShell1 POP Chains
前言 本章我们来分析 YSoSerial BeanShell1 Payload . BeanShell1 Payload BeanShell 简介 在分析 BeanShell1 POP Gadgets 之前 , 我们需要先了解什么是 BeanShell , 以及 BeanShell 的基本用法 . Google 上关于 BeanShell 的文档比…