0x00 前言 本文分析的是yso中的CommonCollections1中的payload 重点分析后半段,因为前半段在之前有详细说过因此就不再赘述 文章链接: https://mp.weixin.qq.com/s?__biz=Mzg3OTU3MzI4Mg&mid=2247483769&idx=1&sn=48eba9031…
0x00 前言 这篇文章并不是yso中的cc1的payload,是利用TransformedMap的。这条链是p牛在Java漫谈中提到的 该文章主要参考自p牛和先知社区上的一篇文章: https://xz.aliyun.com/t/7031#toc-8 p牛-代码审计-Java漫谈 实验环境:jdk:1.7 (8u71之后已修复不可利用) 如果您之…
0x00 前言 URLDNS是Java反序列化中比较简单的一个链,由于URLDNS不需要依赖第三方的包,同时不限制jdk的版本,所以通常用于检测反序列化的点 URLDNS并不能执行命令,只能发送DNS请求 0x01 序列化和反序列化 序列化是为了将对象进行长期存储而诞生的方法,那么反序列化就是将存储的序列化内容恢复成对象 Java的序列化和反序列化…
0x00 前言 这几天面了字节跳动的渗透测试实习生岗位,前前后后三场技术面加起来 大概 2个多小时的样子 面试用的是牛客网,第一次这么正式的面试所以面试还是蛮紧张的,至此记录一下 大致面试内容是这样的 也有可能有遗漏的,问的太久了hh 有的问题都忘记了 0x01 一面 cors & jsonp 简单的说一下同源策略 说说cors 和 jso…