加载中
安全二次开发fastjson

我们今天二次开发一下fastjson,达到抵御探测fastjson的一些方法。 环境搭建: https://packages.baidu.com/app/openrasp/testcases/ 直接这里下载 fastjson.war 然后tomcat跑起来。 然后替换...

09/03 09:59
1.9K
阿里大佬教我安全配置dubbo

在dubbo的未来版本中(如下图),可以配置反序列化黑名单和白名单了。 我们可以直接访问github地址看到其中提到的 blocklist 那么第3点提到的这个黑名单和白名单优先级是怎么样的呢? 代码地...

08/31 17:03
200
vue配置 webpack-obfuscator 进行代码加密混淆

1) 第一个组件,能加密混淆js代码 并 插入反调试能力 webpack-obfuscator https://www.npmjs.com/package/webpack-obfuscator 低混淆: new JavaScriptObfuscator({ // 压缩代码 compact: t...

shiro反序列化安全防护方案

一、本文基于 oneblog 为基础作为方案演示,详情请见 jdk反序列化安全防护研究:续 文中的环境 二、本文的目的是解答一个哥们儿的问题:能不能做到只对shiro进行反序列化限制 ,尤其是 java...

jdk反序列化安全防护研究:续

首先请阅读前文: https://my.oschina.net/9199771/blog/4657674 本文分析如何使用java的jep290对反序列化进行限制,防止未知的反序列化漏洞。 maxdepth=value // 每一个内置对象的最大深度(...

07/09 10:16
1.9K
教你怎么开发一个基于java的语义waf

今天在看腾讯介绍自己jdk的文章,其中提到了腾讯的waf是java写的,所以到github上搜索了一下,发现了一个java开发的语义waf https://github.com/Kanatoko/libinjection-Java 这个项目的作者实...

java Security Manager 安全防护研究

java Security Manager 在java17宣布废弃,未来会被删除 首先我们拉一个springboot项目 https://gitee.com/9199771/SpringBoot-Shiro-Vue 因为tomcat会读取多个dll,实际上这是很危险的,一般...

checkmarx笔记

checkmarx的安装使用笔记 1.重启后启动或禁用checkmarx,如果是专用的代码扫描服务器可以不用管这一小节 相关服务全部启用,重启生效 sc config MSSQL$SQLEXPRESS start= auto sc config SQ....

04/11 16:01
306
长亭hvv红队,初级工程师面试搜集整理

第1部分都是web渗透的原理和知识: 问:打点会用什么洞 答: 1)优先以java反序列化打点:shiro、fastjson、weblogic 等等 2)随后寻找其他常见脆弱面打点:各类oa、thinkphp等等 3)java的w...

教你怎么开发插桩扫描器

今天多亏南哥,南哥问我几个技术问题,所以我又去研究Netsparker了 要看懂本文,需要各位实际操作一遍前文:Netsparker6 插桩扫描试用记述 1.在tomcat的lib库中放入插桩的jar包 2.接着在tom...

03/04 20:32
3.9K
AWVS13 插桩扫描试用记述

AWVS 也有一个插桩模式,我们也来试用一下,先安装好awvs # pull 拉取下载镜像 docker pull secfa/docker-awvs # 将Docker的3443端口映射到物理机的 13443端口 docker run -it -d -p 13443:3...

Netsparker6 插桩扫描试用记述

Netsparker6.0 有一个插桩模式,我们来试用一下,我们这次选择的是openrasp的安全测试用例 官方安装介绍 我们参照这个链接开始安装 1.我们首先下载aspectjweaver.jar,我下载的地址是:https...

yum安全更新的笔记

例如漏洞:sudo堆溢出漏洞(CVE-2021-3156) 本文以centos7为环境 #列出所有勘误的软件(存在问题的软件包) yum updateinfo list available #列出所有可用的安全更新 yum updateinfo list ...

01/27 11:29
638
CobaltStrike界面中文乱码

修改 当前用户 .aggressor.prop 这个文件,参照下图 在最后一行加入 client.font.font=Microsoft-YaHei-UI 10

01/26 19:43
5.5K
常见的代码安全问题和安全规范

一、json反序列化问题 参照这篇文章:https://www.freebuf.com/articles/web/258827.html 其实@RequestBody底层是jackson,程序员往往用@RequestBody处理fastjson的JSONObject,以方便快速解...

记录下网闸、隔离装置

简单做点笔记: 隔离装置其实就是网闸,其实主要是存在销售执照、销售资质的问题,本质都是一个东西,各种型号的产品也只是适用场景不同而已 我们来看下面这个图: 此类产品的几个要点: 1)...

2020/12/18 22:55
480
openrasp笔记

openrasp的js插件拿到第一步就是增加禁止上传war和jar文件,防止上传war包与jar包的攻击 var scriptFileRegex = /\.(aspx?|jspx?|php[345]?|phtml|war|jar|sh|py|pl|rb)\.?$/i ---我是分割线...

jdk反序列化安全防护研究

jdk15有个升级是关于反序列化防护的一个标记为JDK-8234836的改进: https://my.oschina.net/mdxlcj/blog/4586284 使用java.io.ObjectInputStream.setObjectInputFilter方法设置序列化过滤器时...

特殊字符漏洞收集

这里留个笔记,对输入特殊字符可能造成的漏洞进行一个长期收集,未来会不断更新 数据(数字 字母 中文) + 特殊字符 = 代码 而代码会破坏程序逻辑,所以对特殊字符要严肃对待,要输入特殊字符...

graalvm和反序列化漏洞

graalvm虚拟机已经支持将springboot工程编译为二进制文件也叫作aot模式,所以我今天试了下用它构造反序列化漏洞 下图是编译完后的二进制的springboot工程,是一个linux的elf二进制单体文件 ...

2020/09/06 00:23
948

没有更多内容

加载失败,请刷新页面

返回顶部
顶部