【JAVA安全】Java反序列化及JAVA审计学习路线

前言

看到P1ng@n师傅发布的一篇文章讲到如何学习JAVA安全,笔者本人也需要恶补一下JAVA,所以记录一下备用。

一、JAVA基础

   Java学习第一步,我们首先还是得看懂Java,这一点咱们还是要充分利用好B站大学,对于初学者来说我觉得还是看视频跟着

然后再看一看SpringBoot的教程,跟着敲一敲

个人认为vue可以快速过,如果嫌弃慢呢就直接狂神拔苗助长版

直接看啥不会看啥,反射不会看反射,动态代理不会看动态代理,到这已经可以了

二、JAVA安全

一、看白日梦组长的视频,过掉反射、流、动态代理、动态加载,顺带可以到反序列化这里,在序列化之前可以摸一下审计owasp的审计,尝试一下,其实造成原因就是(开发不小心没注意)

二、学会使用ysoserial,到这里了我们需要知道一个东西,我们要会用它反弹shell,并且我们cc链子看的就是他上面写的链子路线走的,所以需要利用到工具frohoff/ysoserial: A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization. (github.com)

图片[1] - 【JAVA安全】Java反序列化及JAVA审计学习路线 - 极核GetShell

三、到这里了我们就可以开始学习cc链,着重需要看cc1的Lazymap还有cc6链cc链子分析完,我们可以看一下比较简单的shiro550、还有shiro7。

四、RMI这个建议看完后顺带看一下jndi、ldap,教程:javasec rmi基础,因为一般情况下是一起的,这里弄完我觉得后续大家就可以直接开始走那些我们常见的fastjson、log4j、weblogic

五、学习JAVA的内存马,了解原理等,Filter、Listener、Serlvet、Value、Agent内存马的文章比较杂乱,只能自己找找了,这一块freebuf比较多

六、优质学习文章:Maskhe/javasec: 自己学习java安全的一些总结,主要是安全审计相关

THE END
想说的话 1  QQ & 微信交流群: 点击查看加群方式
2  网站运营艰难(亏损严重),以真心❤️换真心💕,如果帮助到你,可以 推荐给朋友 或者 开通金贝会员 支持一下本站!
3  请不要进行任何非授权的网络攻击,如果造成任何损失均由使用者本人负责,与本站和原作者无关!
点赞84 分享
茶谈区 共3条

请登录后发表评论