JetBrains TeamCity 任意代码执行漏洞（CVE-2023-42793）研究 - 郑瀚Andrew TeamCity 是一款由 JetBrains 开发的强大的持续集成（Continuous Integration，CI）和持续部署（Continuous Deployment，CD）工具。... 2023-11-20 21:5:0 | 阅读: 30 | 收藏 | 博客园 - 郑瀚Andrew - www.cnblogs.com teamcity rpc2 bearer 漏洞 拦截

SnakeYaml反序列化漏洞研究 - 郑瀚Andrew SnakeYaml是Java中解析yaml的库，而yaml是一种人类可读的数据序列化语言，通常用于编写配置文件等。YAML 的语法和其他高级语言类似，并且可以简单表达清单、散列表，标量等数据形态... 2023-11-14 11:13:0 | 阅读: 17 | 收藏 | 博客园 - 郑瀚Andrew - www.cnblogs.com snakeyaml jndi 数据

Hessian反序列化漏洞研究 - 郑瀚Andrew 0x1：Hessian是什么Hessian 是 caucho 公司的工程项目，为了达到或超过 ORMI/Java JNI 等其他跨语言/平台调用的能力设计而出，在 2004 点发布 1.0 规范... 2023-11-13 10:52:0 | 阅读: 29 | 收藏 | 博客园 - 郑瀚Andrew - www.cnblogs.com hessian jdbcrowset groupid

Java JNI（Java Native Interface）攻击原理研究 - 郑瀚Andrew JNI （Java Native Interface，Java本地接口）是一种编程框架，使得Java虚拟机中的Java程序可以调用本地应用/或库，也可以被其他程序调用。 本地程序一般是用其它语言（C、... 2023-11-10 09:1:0 | 阅读: 25 | 收藏 | 博客园 - 郑瀚Andrew - www.cnblogs.com jni javasec javaweb jniclass helloworld

Java Fastjson反序列化漏洞研究 - 郑瀚Andrew JSON是一种轻量级资料交换格式，其内容由属性和值所组成，因此也有易于阅读和处理的优势，JSON也是目前最为流行的C/S通讯方式。JavaEE的规范中制定了Java API for JSON Pr... 2023-11-9 09:21:0 | 阅读: 21 | 收藏 | 博客园 - 郑瀚Andrew - www.cnblogs.com alibaba command8 23457 parseobject userinfo

XMLDecoder反序列化漏洞研究 - 郑瀚Andrew java.beans.XMLDecoder 是jdk自带的以SAX方式解析XML的类，主要功能是实现java对象和xml文件之间的转化：序列化：将java对象转换成xml文件反序列化：把特定... 2023-11-8 08:45:0 | 阅读: 21 | 收藏 | 博客园 - 郑瀚Andrew - www.cnblogs.com xmldecoder beans sax calculator

JBoss jmx-console未授权访问GetShell漏洞研究 - 郑瀚Andrew 博客园：当前访问的博文已被密码保护... 2023-11-7 10:51:0 | 阅读: 61 | 收藏 | 博客园 - 郑瀚Andrew - www.cnblogs.com 博客园 博文

XXL-job任务调度平台远程命令执行漏洞研究 - 郑瀚Andrew 博客园：当前访问的博文已被密码保护... 2023-11-7 10:20:0 | 阅读: 39 | 收藏 | 博客园 - 郑瀚Andrew - www.cnblogs.com 博客园 博文

Jackson反序列化漏洞研究 - 郑瀚Andrew 0x1：Jackson背景Jackson是一个强大而高效的Java库，处理Java对象及其JSON表示的序列化和反序列化。它是这项任务中使用最广泛的库之一，并在许多其他框架中作为默认的Json引... 2023-11-6 22:6:0 | 阅读: 25 | 收藏 | 博客园 - 郑瀚Andrew - www.cnblogs.com jackson username fasterxml mapper

XStream反序列化漏洞原理分析 - 郑瀚Andrew 0x1：XStream介绍Xstream是一种OXMapping 技术，是用来处理XML文件序列化的框架,在将JavaBean序列化，或将XML文件反序列化的时候，不需要其它辅助类和映射文件，使... 2023-11-4 20:22:0 | 阅读: 27 | 收藏 | 博客园 - 郑瀚Andrew - www.cnblogs.com fromxml 转换器 staxdriver toxml

Java反序列化漏洞原理研究 - 郑瀚Andrew 0x1：Java程序如何运行一个Java程序的运行整个过程分为编译时和运行时。首先原始的java程序源码先由java编译器javac来编译成字节码，即.class文件，然后有ClassLoad... 2023-11-3 11:28:0 | 阅读: 49 | 收藏 | 博客园 - 郑瀚Andrew - www.cnblogs.com commandexec classloader 数据 攻击 漏洞

Atlassian Confluence Data Center & Server权限绕过漏洞（CVE-2023-22518）原理分析 - 郑瀚Andrew 博客园：当前访问的博文已被密码保护... 2023-11-1 08:38:0 | 阅读: 60 | 收藏 | 博客园 - 郑瀚Andrew - www.cnblogs.com 博客园 博文

用友U8-Cloud upload.jsp任意文件上传漏洞原理分析 - 郑瀚Andrew 博客园：当前访问的博文已被密码保护... 2023-10-31 17:40:0 | 阅读: 37 | 收藏 | 博客园 - 郑瀚Andrew - www.cnblogs.com 博文 博客园

Java SPEL表达式注入漏洞原理研究 - 郑瀚Andrew SpEL（Spring Expression Language）简称Spring表达式语言，在Spring 3中引入。SpEL能在运行时构建复杂表达式、存取对象图属性、对象方法调用等等，可以与基... 2023-10-31 08:46:0 | 阅读: 41 | 收藏 | 博客园 - 郑瀚Andrew - www.cnblogs.com helloworld beans

Java MVEL表达式注入漏洞原理研究 - 郑瀚Andrew MVEL全称为：MVFLEX Expression Language，是用来计算Java语法所编写的表达式值的表达式语言。MVEL的语法很大程度上受到Java语法的启发，但为了使表达式语法更高效,... 2023-10-31 08:46:0 | 阅读: 27 | 收藏 | 博客园 - 郑瀚Andrew - www.cnblogs.com mvel mvel2 intresult unomi parammap

Apache RocketMQ 远程代码执行漏洞（CVE-2023-33246）漏洞原理研究 - 郑瀚Andrew 博客园：当前访问的博文已被密码保护... 2023-10-30 09:4:0 | 阅读: 42 | 收藏 | 博客园 - 郑瀚Andrew - www.cnblogs.com 博客园 博文

Apache ActiveMQ远程代码执行漏洞 (CNVD-2023-69477) 原理研究 - 郑瀚Andrew 博客园：当前访问的博文已被密码保护... 2023-10-30 09:3:0 | 阅读: 45 | 收藏 | 博客园 - 郑瀚Andrew - www.cnblogs.com 博客园 博文

Java OGNL表达式注入漏洞原理研究 - 郑瀚Andrew 0x1：什么是Java中的对象图来看一个例子:Class SchoolMaster{ String name = "wanghua";}Class School{ S... 2023-10-27 11:38:0 | 阅读: 20 | 收藏 | 博客园 - 郑瀚Andrew - www.cnblogs.com getvalue student2 getroot ognlcontext

chrome新版本http自动跳转https问题解决 - sevck 虽然是个好功能，但是部分内网业务还没做好https兼容，有的时候手工访问，还是变成https解决办法：chrome://flags/找到：HTTPS Upgrades ，修改disabled... 2023-10-26 15:12:0 | 阅读: 24 | 收藏 | 博客园_Sevck's Blog - www.cnblogs.com sevck chrome upgrades

Java内存马原理研究 - 郑瀚Andrew 从整体攻防领域角度进行分类，内存马可以分为如下几个类型：Servlet-API型：通过模拟中间件注册流程，动态注册一个新的listener、filter或者servlet，从而实现一个中间件... 2023-10-26 15:11:0 | 阅读: 22 | 收藏 | 博客园 - 郑瀚Andrew - www.cnblogs.com valve 容器 memshell catalina