源码审计 第2页
排序
Java 反射机制到底是啥?小白入门指南+ 安全性分析
🛡️ Java 反射机制安全分析 本篇面向新手,不涉及复杂细节。后续将逐步深入反射在安全测试、权限绕过、框架设计中的高级应用。如果你感兴趣,记得关注后续内容! ☀️ 一、什么是 Java 反射机...
FastJSON + MQ 实现反序列化漏洞攻击链
🚨 利用 FastJSON + MQ 实现反序列化漏洞攻击链 在现代微服务架构中,消息中间件(如 Kafka、RocketMQ、RabbitMQ)被广泛用于服务解耦与异步通信。然而,这也带来了新的攻击面,尤其是当与 Fast...
一文吃透 Java SSRF:原理 + 审计 + 绕过 + 防御
🛡️ Java SSRF 源码审计全解 🚩 什么是 SSRF? SSRF(Server-Side Request Forgery,服务器端请求伪造),攻击者通过控制服务端发送请求目标,从而访问本应服务器内部可见的资源。 📌 审计原则...
别再只测 1+1!SpEL 注入黑盒实战还有这些高阶姿势
🔍 SpEL 黑盒探测不止靠 1+1,还可以这样搞! 提到 SpEL 注入,很多人黑盒测试的第一反应就是试试 1+1 看看会不会变成 2。但真正在实战中,SpEL 的“藏身之处”远不止那么简单!它可能伪装在表...
FastJSON 反序列化到底干了啥?一文看懂它是如何利用反射机制的!
🔍 剖析FastJSON 反序列化是如何利用的反射机制 📌 一、反序列化是什么? 反序列化(Deserialization):将字符串形式的数据(如 JSON)转成 Java 对象的过程。 举个例子,有一个 Java 类: p...
一文吃透文件上传漏洞!路径遍历、后缀绕过、ZIP炸弹全解析
🔍 文件上传漏洞Java源码审计详解(附代码分析) 文件上传是 Web 应用中极其常见的功能,但一旦实现不当,极易造成严重漏洞,如:上传 WebShell、任意文件写入、远程命令执行等。本篇将从源码审...
Java XXE 防护实战:常见漏洞场景与防御代码全收录
🛡️ Java XXE 防护示例与详解 本文件涵盖常见 Java XML 解析器的 XXE 安全配置方法,适用学习和辅助判断审计目标是否存在XXE问题: 💥 默认行为 ⚠️ 潜在风险 ✅ 防护方式 👨💻 防护代码 📘...
Nashorn:潜伏在Java中的JavaScript命令执行后门
☢️ Java 类对象的 JavaScript 引擎 —— Nashorn 🧠 什么是 Nashorn? Nashorn 是 Oracle 在 Java 8 引入的 JavaScript 引擎,用于在 Java 应用中嵌入执行 JavaScript 代码。它支持调用 Java ...
