关于java反序列化漏洞的原理分析，基本都是在分析使用Apache Commons Collections这个库，造成的反序列化问题。然而，在下载老外的ysoserial工具并仔细看看后，我发现了许多值得学习的知识。

目前oracle还没有在公开途径发布weblogic的JAVA反序列化漏洞的官方补丁，目前看到的修复方法无非两条：

1. 使用SerialKiller替换进行序列化操作的ObjectInputStream类;
2. 在不影响业务的情况下，临时删除掉项目里的 "org/apache/commons/collections/functors/InvokerTransformer.class"文件。

关于JAVA的Apache Commons Collections组件反序列漏洞的分析文章已经有很多了，当我看完很多分析文章后，发现JAVA反序列漏洞的一些要点与细节未被详细描述，还需要继续分析之后才能更进一步理解并掌握这个漏洞。

序列化常用于将程序运行时的对象状态以二进制的形式存储于文件系统中，然后可以在另一个程序中对序列化后的对象状态数据进行反序列化恢复对象。简单的说就是可以基于序列化数据实时在两个程序中传递程序对象。

这几天在zone看到了有人提及了有关于common-collections包的RCE漏洞，并且http://zone.wooyun.org/content/23849给出了具体的原理。作为一个业余的安全研究人员，除了会利用之外，还可以探究一下背后的原理。

异常 让我们稍微修改一下，月处理的那个例子(在932页的54.13.4)

StageFright是一个Android中的系统服务，可处理各种多媒体格式，由Natvie C++代码实现，多媒体应用如何与Android Native多媒体进行交互可参考如下图：

这次来看一个简单的伪随机函数生成器，之前我在书中提到过一次。

随着移动安全越来越火，各种调试工具也都层出不穷，但因为环境和需求的不同，并没有工具是万能的。另外工具是死的，人是活的，如果能搞懂工具的原理再结合上自身的经验，你也可以创造出属于自己的调试武器。因此，笔者将会在这一系列文章中分享一些自己经常用或原创的调试工具以及手段，希望能对国内移动安全的研究起到一些催化剂的作用。

这个漏洞已经出来很久了，以前简单分析过，但是由于时间关系，没能深入研究原理，网上对这个漏洞的分析也不太多，最近由于工作原因，深入分析了一下这个漏洞的原理，这里重点将漏洞调试过程，以及一些之前遇到的一些奇怪问题的原因记录下来。

ElasticSearch是一个JAVA开发的搜索分析引擎。2014年，曾经被曝出过一个远程代码执行漏洞（CVE-2014-3120），漏洞出现在脚本查询模块，由于搜索引擎支持使用脚本代码（MVEL），作为表达式进行数据操作，攻击者可以通过MVEL构造执行任意java代码，后来脚本语言引擎换成了Groovy，并且加入了沙盒进行控制，危险的代码会被拦截，结果这次由于沙盒限制的不严格，导致远程代码执行，目前网上还没看到公开的poc，经过一番研究，发现了利用方式，下面来看看漏洞是如何产生的。

GemFire内存数据库是来自云计算公司Pivotal(未来我最看好的云计算产品提供商,由EMC、VMware、通用电气这三家公司合资等方式组成,这里有我们熟悉Spring技术团队支撑的就是这家公司云计算前端开发框架)的产品.

BurpSuite神器这些年非常的受大家欢迎，在国庆期间解了下Burp相关开发并写了这篇笔记。希望和大家分享一下JavaSwing和Burp插件相关开发。第一节仅简单的了解下API相关，后面会带着大家利用Netbeans开发我们自己的扩展以及各种有趣的小工具。

这个《Struts2 Tomcat class.classLoader.resources.dirContext.docBase赋值造成的DoS及远程代码执行利用!》在Tomcat下的利用出来以后,它其实秒杀的不是一个框架,而是所有表单数据绑定功能不安全实现的J2EE MVC模式框架(因为国内运营商共享协议的限制,远程代码执行漏洞在国内难以大规模实现.但DoS漏洞还是存在的!).

2012年，我在《攻击JAVA WEB》，文中提多关于“classLoader导致特定环境下的DOS漏洞”，当时并没有更加深入的说明，这几天struts官方修补了这个漏洞，本文是对这个漏洞的深入研究。