https://github.com/Xsw6/JavaSec

https://github.com/Xsw6/JavaSec

Last synced: about 22 hours ago
JSON representation

• Host: GitHub
• URL: https://github.com/Xsw6/JavaSec
• Owner: Xsw6
• Created: 2022-11-08T07:02:30.000Z (about 2 years ago)
• Default Branch: main
• Last Pushed: 2024-02-02T08:05:43.000Z (12 months ago)
• Last Synced: 2024-02-02T09:23:57.405Z (12 months ago)
• Language: Java
• Size: 5.6 MB
• Stars: 21
• Watchers: 1
• Forks: 2
• Open Issues: 0
• Metadata Files:
  • Readme: README.md

Awesome Lists containing this project

• awesome-security-vul-llm - Xsw6/JavaSec - square) - Java安全学习笔记，涉及ASM、JDBC、Spring、Shiro等多个方面，实战案例丰富。 (LLM分析过程)

README

        
# JavaSec

自己的学习记录，很菜

也当然学习路上肯定不止这些东西，很多都没做记录（很多也事之前学习没有方向 只是上传了一些代码）

哈哈哈哈文章有些乱，今年学的东西会好好做个类，争取打开让人看着有读的欲望....

## 2023的读书日记

2023/1/28 

[java类中serialversionuid作用](https://www.cnblogs.com/duanxz/p/3511695.html) [笔记](https://github.com/Xsw6/JavaSec/blob/main/JAVA%E5%AE%89%E5%85%A8%E5%AD%A6%E4%B9%A0-JavaBase/serialVersionUID.md)

[使用自定义ClassLoader解决反序列化serialVesionUID不一致问题](https://gv7.me/articles/2020/deserialization-of-serialvesionuid-conflicts-using-a-custom-classloader/) （掌握了反射、javassist、自定义Classloader其他的方法不大能理解）但是怎么说呢？感觉都挺麻烦...如果jar包一多手动修改的也多，跟替换jar包写poc耗费时间差别真的很大吗？ 学到一个思路吧

2023/1/30

[Weblogic如何识别T3、IIOP、HTTP](https://github.com/Xsw6/JavaSec/blob/main/JAVA%E5%AE%89%E5%85%A8%E5%AD%A6%E4%B9%A0-Weblogic/Weblogic%E5%A6%82%E4%BD%95%E8%AF%86%E5%88%ABT3%E3%80%81IIOP%E3%80%81HTTP.md)

[Java Zip Slip漏洞案例分析及实战挖掘](https://xz.aliyun.com/t/12081#toc-1)(最后一个漏洞，可以通过./../的形式绕过)

2023/2/1 [查杀Java web filter型内存马](https://gv7.me/articles/2020/kill-java-web-filter-memshell/) (感觉实战中可行的应该是查看classloader加载、对应class是否存在、恶意代码，主要都是利用Java Agent获取到所有加载到内存中的class然后进行一系列的判断)

2023/2/2 [西湖论剑比赛] 签到Misc+WEBJAVA(考点Fastjson+toString触发方法) 晚上学习了一下nginx反向代理和负载均衡在weblogic中的影响

一眨眼就过去了20天了，先是没有好工作的机会（迷茫）。后跟女朋友出去散散心，回来又准备考试...

2023/2/21 [对IO重新学习了一下](https://www.bilibili.com/video/BV1n3411Q7gi?p=44&vd_source=ffa29603994e597f1f8a2562b25bcd08)

2023/2/23 可能要暂时说再见了....