/JavaSec

a rep for documenting my study, may be from 0 to 0.1

Primary LanguageJavaApache License 2.0Apache-2.0

JavaSec

JavaSec

0.For Me

仅仅只是想写给自己看

一个记录我Java安全学习过程的仓库,本仓库不是教学仓库,单纯简单记笔记,顺便见证自己从0到0.1的过程吧,少了很多介绍性的东西,以后等厉害了再慢慢补充吧

@Y4tacker

2021年10月18日,梦的开始


1.基础篇

2.反序列化

很早前学了,后面补上,更多是说一点关键的东西,不会很详细,好吧这里再拓展成反序列化专区好了

3.Fastjson/Jackson专区

可以对比jackson简单学习下,这里我也会简单提一下jackson的一些利用,当然不会很详细,但是会简单列出一些触发原理,而且有些payload是共通的,这里也不以收集各个依赖下利用的payload为主

4.Weblogic专区(暂时不想看)

5.内存马学习专区

6.JavaAgent学习专区

后面因为一些原因打算更系统学习,感觉在这里面直接添加有点臃肿,故开了一个新的repo来记录整个学习阶段,移步RaspLearning项目

7.Struts2学习专区(正在学习)

一开始不想搞这个是因为很少人用了,后面想了一下作为学习者还是不要太趋利的好,作为安全学习者就是靠不断的积累未来某一刻才能真正绽放,之前有些部分没写好重新写下,太难看了!

8.关于Tomcat的一些小发现(个人小研究)

9.JDBC Attack

关于Make JDBC Attacks Brilliant Again的简单记录,当我们在 JDBC Connection URL可控的情况下,攻击者可以进行什么样的攻击?这部分可以配合探索高版本 JDK 下 JNDI 漏洞的利用方法来进行拓展攻击

10.关于JNDI的整理

因为比较重要单独列出来了

11.Spring

12.Shiro(暂时暂停学习之后继续)

这里再贴一个小笔记:Class.forName不支持原生类型,但其他类型都是ok。Class.loadClass不能加载原生类型和数组类型,其他类型也都ok

13.回显相关技术学习

14. JSPWebshell

15.Waf

其他分享

比赛反思

特地加了一栏吧,希望从比赛当中了解Java相关的东西积累实战经验!

环境

Todolist