标签: Java

CommonsCollections 系列反序列化

之前做 fastjson 的检测只能说一只脚踏入了 Java 安全,若想真正入门 Java 安全,CommonsCollections 系列反序列化利用链是一个非常好的学习资源,个人感觉看完后收获颇丰,我把比较关键的一些点都记录下来了,并把这些零散的内容整理成了一份表格放在这篇文章最后,如果不关心背后的原理,直接看最后的总结即可。文中提到的那些 K1 ~ K4 可以从这里直接下载使用:https://github.com/zema1/ysoserial

Fastjson 反序列化漏洞自动化检测

fastjson 是 java 中常用的一个用来序列化/反序列化 JSON 数据的库。因其优异的性能表现,在 java web 开放中应用比较广泛。这两天花 3 分钟入门了 JAVA 安全,恰巧最近需要写一个 fastjson 的检测插件,稍微研究了一下后,感觉有一个比较不错的检测方法,在这里和大家分享下。