java代码审计学习笔记
个人在学习java代码审计过程中的笔记,一入java深似海,到现在为止仍有许多遗漏的知识点,很多地方也不求甚解。同时也发现有师傅在做同样的事,并且做的更好:
本来也想写一个漏洞靶场,后来发现写的太烂了。。。直接推荐这个项目:
https://github.com/JoyChou93/java-sec-code
这些笔记主要从代码层面记录漏洞的发现和修复,对于漏洞的利用方式并没有过多深入。
个人在学习java代码审计过程中的笔记,一入java深似海,到现在为止仍有许多遗漏的知识点,很多地方也不求甚解。同时也发现有师傅在做同样的事,并且做的更好:
本来也想写一个漏洞靶场,后来发现写的太烂了。。。直接推荐这个项目:
https://github.com/JoyChou93/java-sec-code
这些笔记主要从代码层面记录漏洞的发现和修复,对于漏洞的利用方式并没有过多深入。
java知识补漏行动最后一站——weblogic。知识从来是越学越多的,何况java博大精深,想在短时间全部掌握根本不可能。但是经过这一波学习之后,再遇到java的漏洞至少不会束手无策了,“不懂java”也不再是借口了,2333333。
由于weblogic的补丁收费,所以文章中补丁大多是其他师傅文章中的内容,基本都已标明出处。如有遗漏,请联系我添加,并表示深深的歉意。
为了能过下班后和周末不用学习、混吃等死的美好生活,开始了知识补漏行动,于是就有了这篇又臭又长的学习笔记。调试环境打包放在了github上,直接用idea打开就可以运行调试。
在之前分析CVE-2018-7600时,对drupal的代码不熟悉,本想完整的分析整个流程,无奈水平不够,只能在漏洞出现的位置打断点调试。对一个ajax请求为什么会由那段代码处理完全不了解。后来复现drupal其他漏洞时,看代码也很吃力,所以对drupal的代码结构和运行流程进行一次分析,消除知识盲点。