JAVA安全网【置顶推荐】腾讯JAVA代码安全编码指南
目录
- [1 安卓类](#1)
* [I. 代码实现](#1.1)
+ [1.1 异常捕获处理](#1.1.1)
+ [1....
最新发布
Fastjson <=1.2.68 全版本远程代码执行漏洞
漏洞描述 FastJSON是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,...
Fastjson 1.2.68 最新版本有限制 autotype bypass
关于漏洞 该漏洞和以往的 autotype bypass 不同,要求 gadget 必须继承自 Throwable 异常类,所以常见的 JNDI gadget 就无法在此处使用。 所以只能找在异常类中的构造方法、se...
Apache Tomcat Session 反序列化代码执行(CVE-2020-9484)
漏洞描述 Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。 攻击者可能可以构造恶意请求,造...
Java反序列化系列 ysoserial Hibernate2
Author: Alpha@天融信阿尔法实验室 0x01 Hibernate简介 Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,它将POJO与数据库表建立映射关系,是一...
shiro权限绕过漏洞分析(CVE-2020-1957)
Author:spoock 环境搭建 根据 Spring Boot 整合 Shiro ,两种方式全总结!。我配置的权限如下所示: @Bean ShiroFilterFactoryBean shiroFilterFac...