陆陆续续分析了几个Java的安全漏洞,接下来轮到shiro的了。这里分析的是Shiro-550,硬编码rememberMe密钥造成的反序列化漏洞。分析起来比想象着的简单。
学完了Java反序列化,在CNVD上找了个有Java反序列化漏洞的系统练练手,叫若依后台管理系统,在github上的star数也不少。我是挺喜欢这个名字的,你若不离不弃、我必生死相依,这个寓意可是作者的官方解读,不是我瞎编的。😆
回顾完PHP反序列化,接着就来学习Java反序列化了。距离上一篇PHP反序列化水文过去快半个月了,感觉时间过得好快啊,在某些特殊时刻也好煎熬啊。不管怎么说,这段时间看了好多Java反序列化的文章,也动手复现了下,对反序列化的原理、利用条件、利用方法有了初步的认识。 胡诌了这么多,就下来是对Java反序列化学习的记录。
进阶的代码审计,反序列化是绕不过的坎啊。主流的几个Web开发语言,像php、C#、Java都有反序列化,其中就属php的反序列化简单易懂,反序列化的学习之路就从这里开始。
p1ay2win
他们的爱与风华,只问自由,只问盛放,只问深情,只问初心,只问勇敢,无问西东。
CN
文章
39
分类
7
标签
35
代码审计
日常
Update your browser to view this website correctly. Update my browser now
×
