我们今天二次开发一下fastjson，达到抵御探测fastjson的一些方法。 环境搭建： https://packages.baidu.com/app/openrasp/testcases/ 直接这里下载 fastjson.war 然后tomcat跑起来。 然后替换...

在dubbo的未来版本中（如下图），可以配置反序列化黑名单和白名单了。 我们可以直接访问github地址看到其中提到的 blocklist 那么第3点提到的这个黑名单和白名单优先级是怎么样的呢？ 代码地...

1) 第一个组件，能加密混淆js代码 并 插入反调试能力 webpack-obfuscator https://www.npmjs.com/package/webpack-obfuscator 低混淆： new JavaScriptObfuscator({ // 压缩代码 compact: t...

一、本文基于 oneblog 为基础作为方案演示，详情请见 jdk反序列化安全防护研究：续 文中的环境 二、本文的目的是解答一个哥们儿的问题：能不能做到只对shiro进行反序列化限制 ，尤其是 java...

首先请阅读前文： https://my.oschina.net/9199771/blog/4657674 本文分析如何使用java的jep290对反序列化进行限制，防止未知的反序列化漏洞。 maxdepth=value // 每一个内置对象的最大深度（...

今天在看腾讯介绍自己jdk的文章，其中提到了腾讯的waf是java写的，所以到github上搜索了一下，发现了一个java开发的语义waf https://github.com/Kanatoko/libinjection-Java 这个项目的作者实...

java Security Manager 在java17宣布废弃，未来会被删除 首先我们拉一个springboot项目 https://gitee.com/9199771/SpringBoot-Shiro-Vue 因为tomcat会读取多个dll，实际上这是很危险的，一般...

checkmarx的安装使用笔记 1.重启后启动或禁用checkmarx，如果是专用的代码扫描服务器可以不用管这一小节 相关服务全部启用，重启生效 sc config MSSQL$SQLEXPRESS start= auto sc config SQ....

第1部分都是web渗透的原理和知识： 问：打点会用什么洞 答： 1）优先以java反序列化打点：shiro、fastjson、weblogic 等等 2）随后寻找其他常见脆弱面打点：各类oa、thinkphp等等 3）java的w...

今天多亏南哥，南哥问我几个技术问题，所以我又去研究Netsparker了 要看懂本文，需要各位实际操作一遍前文：Netsparker6 插桩扫描试用记述 1.在tomcat的lib库中放入插桩的jar包 2.接着在tom...

AWVS 也有一个插桩模式，我们也来试用一下，先安装好awvs # pull 拉取下载镜像 docker pull secfa/docker-awvs # 将Docker的3443端口映射到物理机的 13443端口 docker run -it -d -p 13443:3...

Netsparker6.0 有一个插桩模式，我们来试用一下，我们这次选择的是openrasp的安全测试用例 官方安装介绍 我们参照这个链接开始安装 1.我们首先下载aspectjweaver.jar，我下载的地址是：https...

例如漏洞：sudo堆溢出漏洞（CVE-2021-3156） 本文以centos7为环境 #列出所有勘误的软件（存在问题的软件包） yum updateinfo list available #列出所有可用的安全更新 yum updateinfo list ...

修改 当前用户 .aggressor.prop 这个文件，参照下图 在最后一行加入 client.font.font=Microsoft-YaHei-UI 10

一、json反序列化问题 参照这篇文章：https://www.freebuf.com/articles/web/258827.html 其实@RequestBody底层是jackson，程序员往往用@RequestBody处理fastjson的JSONObject，以方便快速解...

简单做点笔记： 隔离装置其实就是网闸，其实主要是存在销售执照、销售资质的问题，本质都是一个东西，各种型号的产品也只是适用场景不同而已 我们来看下面这个图： 此类产品的几个要点： 1）...

openrasp的js插件拿到第一步就是增加禁止上传war和jar文件，防止上传war包与jar包的攻击 var scriptFileRegex = /\.(aspx?|jspx?|php[345]?|phtml|war|jar|sh|py|pl|rb)\.?$/i ---我是分割线...

jdk15有个升级是关于反序列化防护的一个标记为JDK-8234836的改进： https://my.oschina.net/mdxlcj/blog/4586284 使用java.io.ObjectInputStream.setObjectInputFilter方法设置序列化过滤器时...

这里留个笔记，对输入特殊字符可能造成的漏洞进行一个长期收集，未来会不断更新 数据（数字 字母 中文） + 特殊字符 = 代码 而代码会破坏程序逻辑，所以对特殊字符要严肃对待，要输入特殊字符...

graalvm虚拟机已经支持将springboot工程编译为二进制文件也叫作aot模式，所以我今天试了下用它构造反序列化漏洞 下图是编译完后的二进制的springboot工程，是一个linux的elf二进制单体文件 ...