Java安全 | Gridea

标签：# Java安全

【java安全】Tomcat waf绕过（charset方式）

2024-09-23 4 min read # waf绕过 # Java安全 # tomcat

在一次hvv中应用存在表达式注入漏洞，但是payload被waf拦截，尝试了chunked无果，于是尝试寻找tomcat绕过waf的方法，最后发现该方式居然可以过雷池。

【java安全】记HW中的一次0day流量分析

2024-08-21 208 min read # 内存马 # web # 流量分析 # Java安全 # Java反序列化

客户说上次被攻击的流量不太明白，让我分析看看，于是分析了一下流量，发现是oa系统的反序列化漏洞，并且被注入内存马，分析过程记录如下

【java安全】CC链学习

2024-06-10 3 min read # java # Java安全 # Java反序列化

对cc链的学习作一个总结

【java安全】类加载机制与利用方式学习

2024-06-04 14 min read # 类加载器 # Java安全

学习一下java的类加载机制以及相关的利用方式

【漏洞复现】Aj-Report漏洞复现与分析

2024-05-25 4 min read # aj-report # 漏洞复现 # Java安全

AJ-Report是一个java开发的开源BI平台，存在多个权限绕过、RCE等漏洞，简单分析一下

【java安全】Fastjson漏洞回顾

2024-04-18 15 min read # fastjson # json反序列化 # web # Java安全

简单回顾fastjson漏洞相关知识

【java安全】Spring权限绕过

2024-03-07 11 min read # Spring # 漏洞复现 # Java安全

简单分析总结一下Spring权限绕过的一些方法

【漏洞复现】Apache Log4j2 lookup JNDI注入漏洞（CVE-2021-44228）

2022-06-19 3 min read # 漏洞复现 # log4j2 # Java安全

Apache Log4j2是一款开源的Java日志框架，使用极其广泛，在其 <2.15 的版本中被爆出存在JNDI注入漏洞，攻击者可通过该漏洞执行任意代码

【Java安全】反序列化-URLDNS链分析

2022-05-14 4 min read # Java安全 # Java反序列化

简单分析下URLDNS链