- 博客(9)
- 收藏
- 关注
RSS订阅原创 Java安全基础——序列化/反序列化
Java对象序列化与反序列化方法摘要 Java提供了两种序列化方式:通过实现Serializable接口(自动序列化)或Externalizable接口(自定义序列化)。实现Serializable只需设置serialVersionUID并使用ObjectOutputStream/ObjectInputStream进行读写;而Externalizable需要重写writeExternal和readExternal方法实现完全控制。此外,可通过定义private的writeObject和readObject方
2025-11-30 16:16:30
1246
原创 Java安全基础——JNI安全基础
Java通过JNI实现与C/C++的交互,可在Java中调用本地代码。具体步骤包括:1)声明native方法;2)加载动态链接库(.dll/.so);3)使用javac生成头文件;4)实现C/C++函数;5)编译生成动态库;6)在Java中调用。JNI类型对应C++类型,基本类型直接使用,引用类型为对象指针。处理字符串时需注意内存管理,使用GetStringUTFChars获取字符串指针,最后调用ReleaseStringUTFChars释放资源。该方法可扩展Java功能,但需考虑跨平台和安全问题。
2025-11-29 19:41:10
598
原创 Java安全基础——URLConnection
摘要:本文介绍了Java中URLConnection类的使用方法和潜在安全问题。URLConnection是Java中处理URL通信的超类,支持多种协议(部分协议如gopher在JDK8后被移除)。文章演示了如何通过URLConnection发起HTTP请求,包括设置请求头、超时时间等参数。重点分析了SSRF(服务器端请求伪造)漏洞的成因,指出未对用户输入URL进行过滤会导致安全风险。同时比较了URLConnection和HttpURLConnection的区别,后者仅支持HTTP/HTTPS协议。最后简要
2025-11-28 00:02:37
859
原创 Java安全基础——JDBC
摘要:JDBC通过DriverManager管理数据库驱动连接,实现步骤包括注册驱动和获取连接对象。现代JDBC利用SPI机制自动注册驱动,无需显式调用Class.forName。数据源配置可通过Spring XML或SpringBoot属性文件完成,推荐使用Druid等连接池。SQL注入防御应使用PreparedStatement进行预编译查询,支持客户端或服务器端预编译模式。JDBC规范统一了数据库操作接口,由各厂商实现具体驱动。
2025-11-27 17:15:59
970
原创 Java安全基础——文件系统安全
摘要:本文介绍了Java中常用的文件操作类,包括字节流(FileInputStream/OutputStream等)和字符流(FileReader/Writer等),重点解析了缓存流的工作原理(8192字节缓冲区机制)。同时揭示了JDK1.7.0.25之前存在的空字节截断漏洞:攻击者通过构造"malicious.php\0.jpg"文件名,利用Java与C语言对字符串终止符\0的处理差异,绕过安全检查,最终在服务器上保存可执行的.php文件而非预期的.jpg文件。
2025-11-25 22:53:46
482
原创 Java安全基础——sun.misc.Unsafe
Java的sun.misc.Unsafe类提供了底层内存、CAS等危险操作,需要通过反射获取实例。摘要介绍了两种反射获取方法:通过theUnsafe字段或构造方法。重点展示了Unsafe绕过构造方法创建实例的能力,如获取Runtime实例执行系统命令(ipconfig),突破Java安全限制。这些操作具有高风险性,可能导致安全问题,需谨慎使用。
2025-11-25 18:02:05
611
原创 PortSwigger实验室——SQL注入(完整版)
本文摘要: 实验报告展示了18种SQL注入攻击技术,包括: WHERE子句注入(实验1-3) 数据库版本探测(实验3-4) 数据库内容提取(实验5-6) UNION攻击(实验7-10) 盲注技术(实验11-15) 带外交互注入(实验16-17) XML编码绕过(实验18) 实验详细演示了如何通过修改参数、利用布尔逻辑、时间延迟、报错信息等技术获取数据库敏感信息,包括表结构、用户凭证等。特别展示了针对Oracle、MySQL等不同数据库的特有注入方法,以及使用Burp Suite等工具进行自动化爆破的过程。报
2025-11-22 17:26:40
521
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人