JAVA安全-反序列化类漏洞学习

(Updated: )
JAVA安全

Java反序列化学习的一些基础知识

在分析反序列化漏洞前有些知识需要补充下,不然后面分析起来会看不懂,从而导致放弃

  1. Java序列化和反序列化
  2. ClassLoader、URLClassLoader
  3. Java反射机制
  4. java.lang.invoke.MethodHandle
  5. Java动态代理
  6. Java RMI(Java远程方法调用,基于对象序列化机制实现)
  7. LDAP(指路:https://www.jianshu.com/p/7e4d99f6baaf,https://www.jianshu.com/p/d94673be9ed0,https://www.anquanke.com/post/id/201181,建议结合8.JNDI一起看)
  8. JNDI
  9. JVM上的动态语言(如:Groovy、JRuby、Jython)【指路:https://www.oschina.net/question/5189_23272 ,先了解下】
  10. Java CORBA(指路:https://paper.seebug.org/1124/)

Java反序列化漏洞

分析Java反序列化漏洞,打算用WebLogic和FastJson的典型漏洞来深入分析,从源码到ysoserial工具Gadgets利用链进行解剖。

  1. xml
  2. json
  3. jrmi
  4. jndi
  5. iiop
  6. SnakeYAML
  7. jYAML
  8. YamlBeans
  9. Apache Flex BlazeDS
  10. Red5 IO AMF
  11. Jackson
  12. Castor

https://github.com/GrrrDog/Java-Deserialization-Cheat-Sheet

https://paper.seebug.org/1131/

https://www.jianshu.com/p/776c56fc3a80