在之前的文章《JavaWeb 内存马一周目通关攻略》中，总结了一些目前行业主流的内存马的实现方式，目前对于内存马的研究和讨论，在国内确实比较火，经常能看见各种各样的文章，在国外讨论的较少，因为歪果仁的日站习惯并不是webshell，而通常是reverse shell。

刚过完儿童节回来发现struts2 出了S033，于是放下手中的棒棒糖赶紧分析一下。

本文主要针对JAVA服务器常见的危害较大的安全问题的成因与防护进行分析，主要为了交流和抛砖引玉。

1、传统Web应用与新兴移动应用

（1）传统Web应用：浏览器 HTTP 服务器
（2）新兴移动应用：APP HTTP 服务器

从安全角度看，传统Web应用与新兴移动应用没有本质区别

2016年4月21日Struts2官方发布两个CVE，其中CVE-2016-3081官方评级为高。主要原因为在用户开启动态方法调用的情况下，会被攻击者实现远程代码执行攻击。从我自己搜索的情况来看，国内开启这个功能的网站不在少数，所以这个“Possible Remote Code Execution”漏洞的被打的可能性还是很高的。

关于java反序列化漏洞的原理分析，基本都是在分析使用Apache Commons Collections这个库，造成的反序列化问题。然而，在下载老外的ysoserial工具并仔细看看后，我发现了许多值得学习的知识。

目前oracle还没有在公开途径发布weblogic的JAVA反序列化漏洞的官方补丁，目前看到的修复方法无非两条：

1. 使用SerialKiller替换进行序列化操作的ObjectInputStream类;
2. 在不影响业务的情况下，临时删除掉项目里的 "org/apache/commons/collections/functors/InvokerTransformer.class"文件。

关于JAVA的Apache Commons Collections组件反序列漏洞的分析文章已经有很多了，当我看完很多分析文章后，发现JAVA反序列漏洞的一些要点与细节未被详细描述，还需要继续分析之后才能更进一步理解并掌握这个漏洞。

序列化常用于将程序运行时的对象状态以二进制的形式存储于文件系统中，然后可以在另一个程序中对序列化后的对象状态数据进行反序列化恢复对象。简单的说就是可以基于序列化数据实时在两个程序中传递程序对象。

这几天在zone看到了有人提及了有关于common-collections包的RCE漏洞，并且http://zone.wooyun.org/content/23849给出了具体的原理。作为一个业余的安全研究人员，除了会利用之外，还可以探究一下背后的原理。

异常 让我们稍微修改一下，月处理的那个例子(在932页的54.13.4)

StageFright是一个Android中的系统服务，可处理各种多媒体格式，由Natvie C++代码实现，多媒体应用如何与Android Native多媒体进行交互可参考如下图：

这次来看一个简单的伪随机函数生成器，之前我在书中提到过一次。

随着移动安全越来越火，各种调试工具也都层出不穷，但因为环境和需求的不同，并没有工具是万能的。另外工具是死的，人是活的，如果能搞懂工具的原理再结合上自身的经验，你也可以创造出属于自己的调试武器。因此，笔者将会在这一系列文章中分享一些自己经常用或原创的调试工具以及手段，希望能对国内移动安全的研究起到一些催化剂的作用。

这个漏洞已经出来很久了，以前简单分析过，但是由于时间关系，没能深入研究原理，网上对这个漏洞的分析也不太多，最近由于工作原因，深入分析了一下这个漏洞的原理，这里重点将漏洞调试过程，以及一些之前遇到的一些奇怪问题的原因记录下来。