小红花·文摘
  • 首页
  • 广场
  • 排行榜🏆
  • 直播
  • FAQ
Dify.AI
从安全角度谈Java反射机制--终章

Java反射机制在服务器端模板注入(SSTI)中存在安全隐患,允许攻击者通过不安全的用户输入执行代码,可能导致远程代码执行(RCE)。尽管许多模板引擎限制了对java.lang.Runtime和java.lang.ProcessBuilder的使用,但反射机制可以绕过这些限制。文章分析了不同模板引擎的payload构造,强调理解模板引擎文档的重要性,以防范SSTI漏洞。

从安全角度谈Java反射机制--终章

像清水一般清澈透明
像清水一般清澈透明 · 2026-07-17T14:21:47Z
从安全角度谈Java反射机制--前章

本文讨论了Java反射机制在执行命令中的应用,特别是通过`java.lang.Runtime`和`java.lang.ProcessBuilder`类来执行系统命令。提供了在Windows和Linux下执行命令的示例代码,并解释了如何通过反射调用这些类的方法,包括获取`Runtime`类的实例和修改访问权限以实例化对象。

从安全角度谈Java反射机制--前章

像清水一般清澈透明
像清水一般清澈透明 · 2026-07-17T14:21:47Z

Java反序列化漏洞是安全领域的重要问题,涉及将存储的数据转换为内存对象。实现该漏洞的条件包括实现Serializable接口和使用readObject()方法。通过控制readObject()方法,可以执行恶意代码。深入理解反序列化漏洞可参考ysoserial工具及相关文献。

漫谈Java反序列化

像清水一般清澈透明
像清水一般清澈透明 · 2026-07-17T14:14:20Z
小楼昨夜又春风,你知ysoserial-Gadget-URLDNS多少?

本文介绍了ysoserial工具及其URLDNS gadget的使用,主要用于验证Java反序列化漏洞。通过构造特定的命令执行链,利用HashMap的反序列化过程触发DNS解析,以判断目标是否存在漏洞。文章分析了代码实现及其原理,并强调了反序列化时的hashCode重置技巧。

小楼昨夜又春风,你知ysoserial-Gadget-URLDNS多少?

像清水一般清澈透明
像清水一般清澈透明 · 2026-07-17T14:14:20Z
春眠不觉晓,RCE知多少?

文章讨论了Java中的远程代码执行(RCE)漏洞,特别是由于命令参数处理不当和反序列化机制引发的安全隐患。分析了Spring Boot Actuator和FasterXML/jackson-databind等组件的漏洞,并强调了引入安全依赖和配置管理端口等防护措施。建议开发者在代码审计时关注这些潜在风险。

春眠不觉晓,RCE知多少?

像清水一般清澈透明
像清水一般清澈透明 · 2026-07-17T14:14:20Z

CodeQL库为Java提供了丰富的类集合,支持Java项目的数据库分析。该库通过QL模块实现,包含程序元素、AST节点、元数据、度量计算和调用图等类,主要分为五类,帮助开发者进行代码分析和优化。

CodeQL library for Java

像清水一般清澈透明
像清水一般清澈透明 · 2026-07-17T14:14:20Z

本文介绍了如何使用CodeQL检查Java代码中可能导致溢出的比较,特别是在循环中比较整数和长整数的情况。溢出可能导致循环无法终止,查询能够识别这些潜在问题。通过定义类型宽度的谓词,查询可以泛化到任何窄类型与宽类型之间的比较,帮助开发者避免潜在错误。

Overflow-prone comparisons in Java

像清水一般清澈透明
像清水一般清澈透明 · 2026-07-17T14:14:20Z

本文讨论了Java反射机制及其安全性,特别是与反序列化漏洞的关系。反射机制允许动态获取类和方法,增强了Java的灵活性。尽管反射功能强大,但也可能带来安全隐患,需谨慎使用。

从安全角度谈Java反射机制--序章

像清水一般清澈透明
像清水一般清澈透明 · 2026-07-17T14:14:20Z

本文讨论了Java反序列化漏洞的回显问题,介绍了如何利用自定义类加载器和CC链实现反序列化回显,并通过示例代码展示了加载字节码和执行命令的过程。文章强调了Java类加载机制的安全隐患,鼓励读者探索更多反序列化攻击方式。

Java反序列化链回显解决方案

像清水一般清澈透明
像清水一般清澈透明 · 2026-07-17T14:14:20Z

本文介绍了Java程序的抽象语法树(AST)类,详细阐述了语句和表达式的节点结构,包括空语句、条件语句、循环语句及各种表达式的语法示例。

用于Java程序的抽象语法树类

像清水一般清澈透明
像清水一般清澈透明 · 2026-07-17T14:14:20Z

本文介绍了如何在LGTM上编写和运行CodeQL查询,以查找冗余的if语句,特别是具有空then分支的语句。步骤包括在LGTM.com搜索项目、打开查询控制台、输入并运行查询代码。查询结果将显示匹配的if语句及其在代码中的位置。此外,文章还讨论了如何改进查询,以排除具有else分支的if语句,从而减少假阳性结果。

Basic query for Java code

像清水一般清澈透明
像清水一般清澈透明 · 2026-07-17T14:14:20Z
一篇文章读懂Java代码审计之XXE

本文介绍了Java中的XXE(XML外部实体注入)漏洞及其危害,包括文件读取和命令执行等风险。分析了相关代码,强调在解析XML时需注意节点类型判断,并提供了防护措施,如禁用DOCTYPE声明和外部实体。此外,推荐了相关案例和参考资料以加深理解。

一篇文章读懂Java代码审计之XXE

像清水一般清澈透明
像清水一般清澈透明 · 2026-07-17T14:14:20Z

本文讨论了Java文件上传中的XXE漏洞。攻击者通过修改Excel文件的内容类型和结构,能够上传恶意文件并获取服务器信息。具体步骤包括创建特定格式的Excel文件并查看服务器记录。

2020网鼎杯---Java文件上传wp

像清水一般清澈透明
像清水一般清澈透明 · 2026-07-17T14:14:20Z
自定义 ClassLoader 隔离运行不同版本jar包的方式

本文讨论了如何自定义 Java 的 ClassLoader,以实现不同版本 jar 包的隔离加载。通过将父类加载器设置为 null,确保加载的类不会与启动项目发生冲突。提供了代码示例,展示如何加载特定版本的 jar 包及其依赖。

自定义 ClassLoader 隔离运行不同版本jar包的方式

像清水一般清澈透明
像清水一般清澈透明 · 2026-07-17T14:14:20Z

Java中的注解为程序元素(如类、方法等)提供元数据。CodeQL数据库支持对注解及其元素的查询和分析,能够识别缺失的注解或调用已废弃的方法。使用@SuppressWarnings可以抑制警告,而@Override用于标记覆盖方法。

Annotations in Java

像清水一般清澈透明
像清水一般清澈透明 · 2026-07-17T14:14:20Z

本文介绍了如何使用CodeQL分析Java代码中的Javadoc注释,以查找错误。通过Element类的getDoc和Documentable类的getJavadoc方法,可以访问Javadoc。文中展示了如何编写查询,查找虚假的@param和@throws标签,确保它们引用的参数或异常在方法中实际存在。

Javadoc

像清水一般清澈透明
像清水一般清澈透明 · 2026-07-17T14:14:20Z

本文介绍了如何使用CodeQL分析Java中的数据类型,重点关注原始类型和引用类型的表示。通过Type类及其子类,用户可以查询类层次结构、成员和方法的继承关系。示例展示了如何查找数组的降维问题和不匹配的contains检查,强调了类型安全的重要性,并提供了改进查询的方法以减少假阳性结果。

Types in Java

像清水一般清澈透明
像清水一般清澈透明 · 2026-07-17T14:14:20Z

本文介绍了如何在Java的CodeQL库中进行数据流分析,包括本地数据流、全局数据流和污点跟踪的实现。通过示例,读者可以学习编写数据流查询,追踪数据在程序中的流动,识别潜在的安全问题。

Analyzing data flow in Java

像清水一般清澈透明
像清水一般清澈透明 · 2026-07-17T14:14:20Z

本文介绍了CodeQL在Java中的调用图分析,用户可以通过Callable和Call类识别未被调用的方法。示例查询展示了如何找到未被其他方法调用的可调用对象,并提供了排除特定方法和构造函数的策略,以减少查询结果。同时,文章提到反射调用和JUnit测试方法的特殊情况,强调了识别未使用方法的复杂性。

Navigating the call graph

像清水一般清澈透明
像清水一般清澈透明 · 2026-07-17T14:14:20Z
聊聊 -XX:MaxRAMPercentage=75%

本文讨论了 Java 服务在容器环境中的内存管理,介绍了 -XX:MaxRAMPercentage 参数的使用,该参数根据物理内存的百分比动态调整堆大小,避免内存溢出。建议使用 -XX:+UseContainerSupport 确保参数正确应用。对于不同类型的服务,推荐的堆占比为 60%-80%。

聊聊 -XX:MaxRAMPercentage=75%

bboysoul的博客
bboysoul的博客 · 2026-07-15T10:56:00Z
  • <<
  • <
  • 1 (current)
  • 2
  • 3
  • >
  • >>
👤 个人中心
在公众号发送验证码完成验证
登录验证
在本设备完成一次验证即可继续使用

完成下面两步后,将自动完成登录并继续当前操作。

1 关注公众号
小红花技术领袖公众号二维码
小红花技术领袖
如果当前 App 无法识别二维码,请在微信搜索并关注该公众号
2 发送验证码
在公众号对话中发送下面 4 位验证码
友情链接: MOGE.AI 九胧科技 模力方舟 Gitee AI 菜鸟教程 Remio.AI DeekSeek连连 53AI 神龙海外代理IP IPIPGO全球代理IP 东波哥的博客 匡优考试在线考试系统 开源服务指南 蓝莺IM Solo 独立开发者社区 AI酷站导航 极客Fun 我爱水煮鱼 周报生成器 He3.app 简单简历 白鲸出海 T沙龙 职友集 TechParty 蟒周刊 Best AI Music Generator

小红花技术领袖俱乐部
小红花·文摘:汇聚分发优质内容
小红花技术领袖俱乐部
Copyright © 2021-
粤ICP备2022094092号-1
公众号 小红花技术领袖俱乐部公众号二维码
视频号 小红花技术领袖俱乐部视频号二维码