seaii 发布的文章

java代码审计学习笔记

个人在学习java代码审计过程中的笔记,一入java深似海,到现在为止仍有许多遗漏的知识点,很多地方也不求甚解。同时也发现有师傅在做同样的事,并且做的更好:

攻击Java Web应用-[Java Web安全]

本来也想写一个漏洞靶场,后来发现写的太烂了。。。直接推荐这个项目:

https://github.com/JoyChou93/java-sec-code

这些笔记主要从代码层面记录漏洞的发现和修复,对于漏洞的利用方式并没有过多深入。

github地址:https://github.com/proudwind/javasec_study

weblogic漏洞调试笔记

0x00 前言

java知识补漏行动最后一站——weblogic。知识从来是越学越多的,何况java博大精深,想在短时间全部掌握根本不可能。但是经过这一波学习之后,再遇到java的漏洞至少不会束手无策了,“不懂java”也不再是借口了,2333333。

由于weblogic的补丁收费,所以文章中补丁大多是其他师傅文章中的内容,基本都已标明出处。如有遗漏,请联系我添加,并表示深深的歉意。

Continue Reading...

drupal8代码结构及运行流程分析

前言

在之前分析CVE-2018-7600时,对drupal的代码不熟悉,本想完整的分析整个流程,无奈水平不够,只能在漏洞出现的位置打断点调试。对一个ajax请求为什么会由那段代码处理完全不了解。后来复现drupal其他漏洞时,看代码也很吃力,所以对drupal的代码结构和运行流程进行一次分析,消除知识盲点。

Continue Reading...