- 简介
- 目录大纲
- 最新文档
Log4j2
概述 Log4j 是 Apache 软件基金会下的一个开源日志记录框架,专为 Java 应用程序设计。 Log4j 提供了灵活的日志记录功能,允许开发者控制日志信息的输出格式、级别和目标位置。 Apache Log4j 2 是对Log4j的升级,它比其前身Log4j 1.x提供了重大改进。 漏洞版本 2.0 <= Apache log4j2 <= 2.14.1 漏洞原理 利用方式...……
毛林 - 2025年11月1日 14:15
19JNDI注入
概述 JNDI 注入是一种利用 JNDI 机制的安全漏洞,指攻击者通过控制 JNDI lookup 的输入参数,诱导目标应用程序加载并执行恶意代码,最终实现远程代码执行(RCE)。 JNDI接口在初始化时,可以将RMI URL作为参数传入,而JNDI注入就出现在客户端的lookup()函数中,如果lookup()的参数可控就可能被攻击。 java String userInput = req...……
毛林 - 2025年11月1日 14:14
07JNDI
概述 JNDI(Java Naming and Directory Interface,Java 命名与目录接口)是 Java EE 中用于统一管理和访问分布式资源的规范,它通过 “名称 - 资源” 映射机制,让应用程序能通过名称快速定位并使用资源(如数据库连接池、远程对象、消息队列等),无需硬编码资源的具体位置,是分布式系统中资源解耦的核心技术。 在分布式系统中,资源(如数据库、远程服务)...……
毛林 - 2025年10月28日 10:39
05RMI
概述 RMI(Remote Method Invocation,远程方法调用)是 Java 提供的一套分布式通信框架,允许一个 JVM(Java 虚拟机)中的程序像调用本地方法一样,调用另一个 JVM 中对象的方法。它是 Java 分布式应用的核心技术之一,底层依赖 JRMP(Java Remote Method Protocol)协议(默认),也可适配其他协议(如 IIOP)。 核心组件...……
毛林 - 2025年10月28日 10:37
18CC链
概述 CC 链(Commons Collections Gadget Chain)是基于 Apache Commons Collections 库构造的 Java 反序列化漏洞利用链,是 Java 反序列化攻击中最经典、影响最广泛的利用链之一。 其核心是通过滥用该库中特定类的方法调用关系,在目标程序反序列化恶意数据时,触发从readObject()到Runtime.exec()的完整调用链,...……
毛林 - 2025年10月27日 21:02