前言
看到P1ng@n师傅发布的一篇文章讲到如何学习JAVA安全,笔者本人也需要恶补一下JAVA,所以记录一下备用。
一、JAVA基础
Java学习第一步,我们首先还是得看懂Java,这一点咱们还是要充分利用好B站大学,对于初学者来说我觉得还是看视频跟着。
如果嫌时间太长,还有个极速版
然后再看一看SpringBoot的教程,跟着敲一敲
个人认为vue可以快速过,如果嫌弃慢呢就直接狂神拔苗助长版
直接看啥不会看啥,反射不会看反射,动态代理不会看动态代理,到这已经可以了
二、JAVA安全
一、看白日梦组长的视频,过掉反射、流、动态代理、动态加载,顺带可以到反序列化这里,在序列化之前可以摸一下审计owasp的审计,尝试一下,其实造成原因就是(开发不小心没注意)
二、学会使用ysoserial
,到这里了我们需要知道一个东西,我们要会用它反弹shell,并且我们cc链子看的就是他上面写的链子路线走的,所以需要利用到工具:frohoff/ysoserial: A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization. (github.com)
三、到这里了我们就可以开始学习cc链,着重需要看cc1的Lazymap还有cc6链cc链子分析完,我们可以看一下比较简单的shiro550、还有shiro7。
四、RMI这个建议看完后顺带看一下jndi、ldap,教程:javasec rmi基础,因为一般情况下是一起的,这里弄完我觉得后续大家就可以直接开始走那些我们常见的fastjson、log4j、weblogic
五、学习JAVA的内存马,了解原理等,Filter、Listener、Serlvet、Value、Agent内存马的文章比较杂乱,只能自己找找了,这一块freebuf比较多。
- 最新
- 最热
只看作者