Top 我的2021年度总结 2021 我做了什么?这一年我在博客发表了14 篇技术文章这一年我的《Java 代码审计(入门篇)》出版了,并且我为这本书录制了17 节课时的讲解视频这一年我拿到了腾讯和蚂蚁的实习 offer,但最终选择在非攻实验... 生活 2021-12-31 1 1039 字 483
聊聊配置文件 RCE 这件事 写在前面昨晚推特上一条博文引起了圈内的大量关注log4j 2.17.0 RCE 啦!!然鹅:圈内人士嘘声一片……修改配置文件 RCE,就这就这?那么修改配置文件来RCE到底是怎么“流行”起来的呢?因这件事还要从 L... 技术杂谈 2021-12-29 评论 4335 字 444
log4j 1.x 与 logback 的鸡肋RCE讨论 0x01 写在前面对 log4j2 漏洞的后续研究中,发现一些有趣的东西,记录分享一下0x02 log4j 真的在任何情况不存在 JNDI注入吗?首先提出一个问题,log4j 真的在任何情况不存在 JNDI注入吗?... 安全研究 2021-12-13 评论 9569 字 1040
log4j2 JNDI 注入漏洞分析 0x01 写在前面2021 年 12 月 9 号注定是一个不眠之夜,著名的Apache Log4j 项目被爆存在远程代码执行漏洞,且利用简单,影响危害巨大,光是引入了 log4j2 依赖的组件都是数不清,更别提项目... 安全研究 2021-12-11 评论 5869 字 2584
Thymeleaf SSTI 分析以及最新版修复的 Bypass 0x01 写在前面前段时间补上了迟迟没有写的 文件包含漏洞原理与实际案例介绍一文,在其中就提到了 Thymeleaf SSTI 漏洞,昨天在赛博群里三梦师傅扔了一个随手挖的 CVE——Thymeleaf SSTI ... 安全研究 2021-11-20 评论 14746 字 1419
【Java 代码审计入门-06】文件包含漏洞原理与实际案例介绍 0x00 写在前面为什么会有这一些列的文章呢?因为我发现网上没有成系列的文章或者教程,基本上是 Java 代码审计中某个点来阐述的,对于新人来说可能不是那么友好,加上本人也在学习 Java 审计,想做个学习历程的记... 代码审计 2021-11-13 评论 12293 字 1429
JVM字节码学习笔记——class 文件结构 0x01 前言本系列学习笔记均来自《深入理解 JVM 字节码》(作者:张亚),本笔记仅用于个人学习知识总结。对于学习 java 安全、想了解 JVM 字节码的童鞋们强烈建议购买正版书去阅读。0x02 class 文... 技术杂谈 2021-09-28 评论 16586 字 1978
