这是我在学习java安全审计的一些总结,每篇文章可能都不会很长,可能就只是讲一个知识点,但是文章越短,我才越容易坚持下去把这系列文章写完~
本系列文章不求把每个细节都覆盖到,但求把提到的每个知识点用通俗易懂的话阐述出来
文章体系规划(待完善):
常见的pop gadgets以及一些反序列化漏洞案例
结合自己写的demo以及真实漏洞案例
几句话讲解原理,再结合几个真实漏洞案例:fastjson、spring的jndi注入案例
几种常见的解析xml的jar包,以及他们的漏洞点,防御手法
主要是各种方法,各个jar包
weblogic系列、spring系列、fastjson系列、jackson系列、solr、jboss、tomcat、struts2....
这系列文章写完怕是要两三个月.....
后续连载以及文章结构完善大概会优先在我搁置一年的微信公众号【一个安全研究员】发布(之间觉得公众号插图片太麻烦了就搁置了,现在好像能够插外链图片了?尝试更新中.....)