9102年Java里的XXE的防御

温故而知新,一年前的现在写的文章有点旧,而且不够准确,于是新开一篇介绍一下。

前段时间在搞应急,从一个啥都不会的小白学了一些XXE的简单poc构造和防御手段,网上攻击的poc很多,就不多说了,防御方法五花八门,而且有些防御根本就是无效的!!写篇文章分享一下,如何用Java彻底防御XXE。

继续阅读“9102年Java里的XXE的防御”

Jackson反序列化漏洞简介(四): 防御和检测方式【系列完结】

之前有段时间在搞jackson反序列化漏洞的检测,网上看到各种各样的文章,很多抄来抄去的,真是辣鸡,虽然我不懂,但也知道他们有些人在胡扯。本系列文章系统地介绍java里的json反序列化漏洞成因、防御方式、检测方式、利用方式。因为本人接触这些不久,如有错误,还请大佬留言指正。

本文是第四篇(最后一篇),讲下如何检测和防御。

继续阅读“Jackson反序列化漏洞简介(四): 防御和检测方式【系列完结】”

Jackson反序列化漏洞简介(三): JsonTypeInfo的用途

之前有段时间在搞jackson反序列化漏洞的检测,网上看到各种各样的文章,很多抄来抄去的,真是辣鸡,虽然我不懂,但也知道他们有些人在胡扯。本系列文章系统地介绍java里的json反序列化漏洞成因、防御方式、检测方式、利用方式。因为本人接触这些不久,如有错误,还请大佬留言指正。

本文是第三篇,讲之前漏掉的一种可以进行漏洞利用的写法。

继续阅读“Jackson反序列化漏洞简介(三): JsonTypeInfo的用途”

Jackson反序列化漏洞简介(二):在反序列化时进行代码执行

之前有段时间在搞jackson反序列化漏洞的检测,网上看到各种各样的文章,很多抄来抄去的,真是辣鸡,虽然我不懂,但也知道他们有些人在胡扯。本系列文章系统地介绍java里的json反序列化漏洞成因、防御方式、检测方式、利用方式。因为本人接触这些不久,如有错误,还请大佬留言指正。

本文是第二篇,讲为什么反序列化时候有被代码执行的风险。

继续阅读“Jackson反序列化漏洞简介(二):在反序列化时进行代码执行”

Jackson反序列化漏洞简介(一):Jackson基本的工作原理

之前有段时间在搞jackson反序列化漏洞的检测,网上看到各种各样的文章,很多抄来抄去的,真是辣鸡,虽然我不懂,但也知道他们有些人在胡扯。本系列文章系统地介绍java里的json反序列化漏洞成因、防御方式、检测方式、利用方式。因为本人接触这些不久,如有错误,还请大佬留言指正。

本文是第一篇,讲讲jackson的基础知识。

继续阅读“Jackson反序列化漏洞简介(一):Jackson基本的工作原理”