一、漏洞概述 WebLogic 是 Oracle 推出的 Java 应用服务器,其专有通信协议T3 协议因存在反序列化缺陷,成为远程代码执行漏洞的重灾区。攻击者可构造恶意序列化数据,通过 T3 协议发送给 WebLogic 服务器,在服务器反序列化过程中执行任意代码,实现远程控制。 历史上基于 T3 协议的高危漏洞包括 CVE-2015-4582、…
WebLogic T3 反序列化漏洞深度剖析:从协议原理到攻防实践
Apache Shiro 反序列化漏洞全解析:从 550 到 721 的攻防对抗
一、Apache Shiro 漏洞概述 Apache Shiro 是一款流行的 Java 安全框架,提供身份认证、授权、会话管理等功能。但其历史版本中存在两个高危反序列化漏洞 ——Shiro 550(CVE-2016-4437) 和Shiro 721,攻击者可利用漏洞实现远程代码执行,对 Java 应用造成严重威胁。 二、Shiro 550 反序列…
Fastjson 反序列化漏洞解析
一、Fastjson 概述 (一)基本介绍 Fastjson 是阿里巴巴开源的高性能 JSON 解析库,支持 Java 对象与 JSON 字符串的快速转换,因速度快、API 简洁、功能完备等特点,被广泛应用于缓存序列化、协议交互等场景。 (二)核心功能 序列化:通过JSON.toJSONString(obj)将 Java 对象转换为 JSON 字符…
Apache Log4j2 远程代码执行漏洞全解析
Apache Log4j2 远程代码执行漏洞全解析 一、漏洞概述 1. 漏洞原理 Apache Log4j2 是 Java 生态中广泛使用的日志框架,其Lookup功能存在致命缺陷:未限制 JNDI(Java 命名和目录接口)查询。攻击者可在日志消息中插入恶意 JNDI 表达式(如${jndi:rmi://恶意服务器/恶意类}),触发 Log4j2…
Java 反序列化漏洞:从原理到防护全解析
什么是 Java 序列化与反序列化 Java 序列化是将内存中的对象转换为字节流的过程,目的是实现对象在不同存储介质(如内存、文件、数据库)或网络间的高效传递 —— 例如网络通信时,发送方需通过序列化将对象转为字节流才能传输;而反序列化则是其逆操作,接收方通过该过程将字节流还原为可直接使用的原始对象。 从技术实现来看,序列化依赖Obj…
第九篇:MySQL 常用工具
命令行工具 mysql(命令行客户端) 功能:执行 SQL 语句、管理数据库,是最基础的交互工具。 连接示例: mysql -u root -p -P 3306 -h localhost -u指定用户名,-p用于输入密码,-P指定端口,-h指定主机。 mysqldump(备份工具) 功能:备份数据库或表结构及数据,支持多种参数定制备份内容。 示例:…
第八篇:MySQL 表存储与元数据查询
表存储位置与文件 MySQL 表默认存储在{MySQL安装目录}/data/{数据库名}/,不同存储引擎的文件不同: MyISAM 引擎(已较少使用) 表名.frm:存储表结构定义; 表名.MYD:存储表数据; 表名.MYI:存储表索引。 InnoDB 引擎(默认推荐) 数据和索引通常存储在共享表空间(ibdata1文件)或独立表空间(表名.ibd…
第七篇:MySQL 管理与运维实战
数据库用户管理(权限控制) 添加用户 -- 创建只能本地登录的用户(localhost) CREATE USER 'test_user'@'localhost' IDENTIFIED BY '123456'; -- 创建允许任意主机登录的用户(%表示所有主机) CREATE USER 'test_user'@'%' IDENTIFIED BY '1…
第六篇:MySQL 多表查询与子查询
内连接(INNER JOIN) 只获取两张表中匹配条件的记录,即 “交集” 部分。 语法 SELECT 字段 FROM 表A INNER JOIN 表B ON 表A.关联字段 = 表B.关联字段; 示例 查询学生姓名和对应的课程名(只显示有课程的学生): SELECT students.name, courses.course_name FROM …
第五篇:MySQL 高级查询技巧
投影查询(只查需要的字段) 只查询指定字段,减少数据传输量,提升效率: -- 只查询学生姓名和年龄 SELECT name, age FROM students; 限制查询(分页与取前 N 条) 查询前 N 条记录 SELECT * FROM 表名 LIMIT 数量; -- 示例:查询前10条学生记录 SELECT * FROM students …