Javasec
自己学习java安全的一些总结,主要是安全审计相关
Install / Use
/learn @Maskhe/JavasecREADME
javasec
这是我在学习java安全审计的一些总结,每篇文章可能都不会很长,可能就只是讲一个知识点,但是文章越短,我才越容易坚持下去把这系列文章写完~
本系列文章不求把每个细节都覆盖到,但求把提到的每个知识点用通俗易懂的话阐述出来
文章体系规划(待完善):
JAVA反射机制
JAVA动态代理机制
JAVA序列化与反序列化机制
常见的pop gadgets以及一些反序列化漏洞案例
apache commons-collections中的反序列化利用链
IDEA调试技巧
RMI基础
攻击RMI的方式
结合自己写的demo以及真实漏洞案例
JNDI注入
几句话讲解原理,再结合几个真实漏洞案例:fastjson、spring的jndi注入案例
JMX的安全问题
XXE
几种常见的解析xml的jar包,以及他们的漏洞点,防御手法
JDK中其它的一些反序列化
Weblogic之XMLDecoder反序列化1(CVE-2017-3506)
JAVA表达式安全问题
SQL注入
JWT安全问题
Spring框架基础知识
Struts2框架基础知识
SSRF
主要是各种方法,各个jar包
各大大型应用、类库的漏洞
weblogic系列、spring系列、fastjson系列、jackson系列、solr、jboss、tomcat、struts2....
JVM基础
此部分内容虽是基础知识,但是对于漏洞挖掘也许并无多大助益,我在写作的过程中也只挑了我关注的内容,像jvm垃圾收集及调优部分内容就被我舍弃了
Related Skills
node-connect
340.5kDiagnose OpenClaw node connection and pairing failures for Android, iOS, and macOS companion apps
frontend-design
84.2kCreate distinctive, production-grade frontend interfaces with high design quality. Use this skill when the user asks to build web components, pages, or applications. Generates creative, polished code that avoids generic AI aesthetics.
openai-whisper-api
340.5kTranscribe audio via OpenAI Audio Transcriptions API (Whisper).
commit-push-pr
84.2kCommit, push, and open a PR
Security Score
Audited on Mar 29, 2026