注册会员 | 设为首页 | 加入收藏夹
您好,欢迎光临本网站![请登录][注册会员]  

搜索资源列表

  1. java-基础java序列化的秘密

  2. 为什么要有序列化 序列化都干些啥 反序列化时如何生成实例 是不是所有的类都需要序列化 序列化算法 定制自己的序列化算法 常见的序列化攻击 单例模式不过是浮云 Serializable中的隐藏方法一览 .........

  3. 所属分类:Java

    • 发布日期:2013-05-29
    • 文件大小:2097152
    • 提供者:myvictoryhhb

  1. Web安全培训ppt(适合初学者)

  2. Web安全学习大纲 一、Web安全系列之基础 1、Web安全基础概念(1天) 互联网本来是安全的,自从有了研究安全的人之后,互联网就变的不安全了。 2、web面临的主要安全问题(2天) 客户端:移动APP漏洞、浏览器劫持、篡改 服务器:DDos攻击、CC攻击、黑客入侵、业务欺诈、恶意内容 3、常用渗透手段(3天) 信息搜集:域名、IP、服务器信息、CDN、子域名、GOOGLE HACKING 扫描器扫描:Nmap、AWVS、Burp Suite、在线扫描器 权限提升 权限维持 二、Web安全系

  3. 所属分类:网络安全

    • 发布日期:2017-10-31
    • 文件大小:5242880
    • 提供者:langmanlaowo

  1. java面试题,180多页,绝对良心制作,欢迎点评,涵盖各种知识点,排版优美,阅读舒心

  2. 180多页面试题,前前后后不间断的更新了两年,准备换工作时,总是拿来看看,有比较好的面试题,也不间断的更新,面试题目录如下: 【基础】面向对象的特征有哪些方面 13 抽象 13 继承 13 封装 13 多态性 13 【基础】java多态的理解 13 【基础】transient关键字 15 【基础】访问修饰符区别 15 【基础】java基本数据类型(四类八种) 15 Java自动类型转换 16 数据类型自动提升(注意以下讨论的是二元操作符) 16 【基础】switch支持的类型 17 【基础】当

  3. 所属分类:Java

    • 发布日期:2018-08-13
    • 文件大小:7340032
    • 提供者:laokaikai

  1. Redis使用lettuce和jedis.pdf

  2. 个人整理redis的基本的使用,参看spring-data-redis官方网站,和博客,以及luttuce的源码,以及其他文档接口 描述 密影类型架作 Cooperations Redis的地理空间操作的,比如 GEOADD, GEORADTUS Hashoperations Redis哈希操作 HyperLogLogoperations Redist的 HyperLogLog操作,例如PAD, PFCOUNT Listoperations Redis列表操作 setoperations Red

  3. 所属分类:Redis

    • 发布日期:2019-07-01
    • 文件大小:1048576
    • 提供者:qq_37256896

  1. NC65安全漏洞补丁.rar

  2. 用友 NC 是一款企业级管理软件,在近万家大中型企业使用。实现建模、开发、继承、运行、管理一体化的 IT 解决方案信息化平台,其代码实现逻辑上存在多处反序列化漏洞。   2020 年 6 月 4 日,有国内安全组织披露用友 NC 存在反序列化远程命令执行“0-Day”漏洞。经分析,漏洞真实存在,攻击者通过构造特定的 HTTP 请求,可以成功利用漏洞在目标服务器上执行任意命令,该漏洞风险极大,可能造成严重的信息泄露事件。鉴于漏洞利用的源代码已经公开,建议用户尽快修复此漏洞。   2、攻击原理   

  3. 所属分类:Java

    • 发布日期:2020-06-08
    • 文件大小:1048576
    • 提供者:u010741112

  1. Java JDBC导致的反序列化攻击原理解析

  2. 主要介绍了Java JDBC导致的反序列化攻击原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下

  3. 所属分类:其它

    • 发布日期:2020-08-25
    • 文件大小:59392
    • 提供者:weixin_38592611

  1. tomcat-cluster-session-sync-exp:tomcat使用了自带会话同步功能时,不安全的配置(没有使用EncryptInterceptor)导致存在的反序列化漏洞,通过精心构造的数据包,可以对使用了tomcat自带会话

  2. 工具仅用于安全研究以及内部自查,禁止使用工具发起非法攻击,造成的后果使用者负责 tomcat cluster sync-session利用exp 这是一个tomcat使用了自带会话同步功能时,不安全的配置(没有使用EncryptInterceptor)导致存在的反序列化漏洞,通过精心构造的数据包,可以对使用了tomcat自带会话同步功能的服务器进行攻击。 使用 先编译出jar包: mvn clean compile assembly:assembly 生成jar包存在于target目录下 使

  3. 所属分类:其它

    • 发布日期:2021-03-19
    • 文件大小:41984
    • 提供者:weixin_42141437

  1. yaml-payload:Spring Cloud SnakeYAML反序列化一键注入cmdshell和reGeorg-源码

  2. 自述文件 Spring Cloud SnakeYAML一键注册cmd shell和reGeorg 利用条件: 可以POST请求目标网站的/env接口设置属性 可以POST请求目标网站的/refresh接口刷新配置(存在spring-boot-starter-actuator依赖) 目标依赖的spring-cloud-starter版本<1.3.0.RELEASE 目标可以请求攻击者的HTTP服务器(请求可出外网) 仅在JDK1.8及Spring1.x测试通过,其他版本自测。 利用方法如下:

  3. 所属分类:其它

    • 发布日期:2021-03-13
    • 文件大小:7340032
    • 提供者:weixin_42117224

  1. SHIRO-721:RememberMe填充Oracle漏洞RCE-源码

  2. SHIRO-721 RememberMe填充Oracle漏洞RCE 0x00简介: cookie的cookiememeMe已通过AES-128-CBC模式加密,这很容易受到填充oracle攻击的影响。 攻击者可以使用有效的RememberMe cookie作为填充Oracle Attack的前缀,然后制作精心制作的RememberMe来执行Java反序列化攻击,例如SHIRO-550。 0x01重现此问题的步骤: 登录网站,并从cookie中获取RememberMe。 使用RememberMe

  3. 所属分类:其它

    • 发布日期:2021-03-08
    • 文件大小:4194304
    • 提供者:weixin_42105816

  1. xmlrpc-common-deserialization:CVE-2019-17570详细信息和概念证明-源码

  2. xmlrpc常见的反序列化漏洞 本说明是一个技术说明,详细说明了根本原因和相关的利用。 您可以在找到初始披露。 关联的CVE为CVE-2019-17570。 描述 xmlrpc-common构成xmlrpc-client和xmlrpc-server之间的共享代码库。 在org.apache.xmlrpc.parser.XmlRpcResponseParser.addResult(Object)方法中发现了反序列化漏洞。 它使攻击者控制的xmlrpc服务器能够发送恶意的xmlrpc答复,这将触发x

  3. 所属分类:其它

    • 发布日期:2021-03-08
    • 文件大小:11264
    • 提供者:weixin_42128537

  1. freddy:使用主动和被动扫描自动识别Java和.NET应用程序中的反序列化问题-源码

  2. Freddy the Serial(isation)Killer-反序列化错误查找器 Burp Suite扩展,可帮助检测和利用序列化库/ API。 此有用的扩展最初是由Nick Bloor(nickstadb)为NCC Group开发的,主要基于AlvaroMuñoz和Oleksandr Mirosh日 ,他们在Black Hat USA 2017和DEF CON 25上进行了介绍。他们在工作中回顾了针对Java和.NET的一系列JSON和XML序列化库,发现它们中的许多都支持任意运行时对象

  3. 所属分类:其它

    • 发布日期:2021-02-26
    • 文件大小:464896
    • 提供者:weixin_42117082

  1. SerialKiller:Java反序列化前瞻性库-源码

  2. 连环杀手 SerialKiller是一个易于使用的前瞻性Java反序列化库,用于保护应用程序免受不受信任的输入的侵害。 当使用Java序列化在客户端和服务器之间交换信息时,攻击者可以用恶意数据替换合法的序列化流。 受启发,SerialKiller在命名解析期间检查Java类,并允许将黑名单/白名单组合使用以保护您的应用程序。 免责声明:此库可能(或可能不是)100%可以投入生产。 使用风险自负! 如何使用SerialKiller保护您的应用程序 下载最新版本的 。 另外,也可以在使用此库

  3. 所属分类:其它

    • 发布日期:2021-02-05
    • 文件大小:32768
    • 提供者:weixin_42134094

  1. Java反序列化攻击

  2. Java 反序列化攻击漏洞由FoxGlove 的近的一篇博文爆出,该漏洞可以被黑客利用向服务器上传恶意脚本,或者远程执行命令。   由于目前发现该漏洞存在于 Apache commons-collections, Apache xalan 和 Groovy 包中,也意味着使用了这些包的服务器(目前发现有WebSphere, WebLogic,JBoss),第三方框架(Spring,Groovy),第三方应用(Jenkins),以及依赖于这些服务器,框架或者直接/间接引用这些包的应用都会受到威胁

  3. 所属分类:其它

    • 发布日期:2021-01-21
    • 文件大小:69632
    • 提供者:weixin_38616435

  1. JAVA反序列化漏洞知识点整理

  2. jenkins反序列漏洞跟过一遍之后,虽说梳理清楚了漏洞触发的大体流程,但是对于JAVA反序列化漏洞导致代码执行的原理仍旧不懂,因此有必要整理JAVA反序列化漏洞相关的知识点。   JAVA反序列化漏洞   反序列化漏洞的本质是反序列化机制打破了数据和对象的边界,导致攻击者注入的恶意序列化数据在反序列化过程中被还原成对象,控制了对象可能在目标系统上面执行攻击代码,而不可信的输入和未检测反序列化对象的安全性是导致反序列化漏洞的常见原因。Java序列化常应用于RMI(Java Remote Me

  3. 所属分类:其它

    • 发布日期:2021-01-20
    • 文件大小:63488
    • 提供者:weixin_38697471

  1. Apache Shiro Padding Oracle漏洞可导致远程命令执行漏洞解决

  2. 背景:Apach Shiro官方披露其cookie持久化参数rememberMe加密算法存在漏洞,可被Padding Oracle攻击,攻击者利用Padding Oracle攻击手段可构造恶意的rememberMe值,绕过加密算法验证,执行java反序列化操作,最终可导致远程命令执行获取服务器权限,风险极大。 1,漏洞描述: Apache Shiro < 1.4.2 版本中cookie值rememberMe通过AES-128-CBC模式加密,容易受到Padding Oracle攻击。攻击者

  3. 所属分类:其它

    • 发布日期:2021-01-09
    • 文件大小:37888
    • 提供者:weixin_38635682