分享一个Spring Boot中关于%2e的小Trick。先说结论，当Spring Boot版本在小于等于2.3.0.RELEASE的情况下，alwaysUseFullPath为默认值false，这会使得其获取ServletPath，所以在路由匹配时相当于会进行路径标准化包括对%2e解码以及处理跨目录，这可能导致身份验证绕过。而反过来由于高版本将alwaysUseFullPath自动配置成了true从而开启全路径，又可能导致一些安全问题。

阅读剩余部分 –

Java反序列化漏洞的危害不光在于普通gadgets能够带来的命令执行，由于Java应用的使用场景以及gadgets大多都是构造出单向代码执行，一般通过利用链构造出的单向代码链能做到的能力往往有限。而我们在多数场景比如需要回显，注入内存shell等情况下，实际上对可以直接运行整个class或者说运行一个全局上下文关联的多行代码来进行动态执行有极大的需求。它往往是需要反序列化利用链配合另一条能够动态代码执行的利用链，这里我们主要讨论的也是这种情况。下面会简要分享下部分相对比较常见同时能够直接动态代码上下文执行的方式。

之前一直有在研究Java插桩应用于安全防御以及检测方面的东西，主要分为RASP和IAST。IAST又叫交互式应用安全测试，它目前主要分为主动式(Active)和被动式(Passive)两种，上个暑假有机会重点接触了一下Passive IAST的一些研究工作。这里打算简单聊聊，也算是一个总结与思考。不会涉及太多技术细节，简单分享下我对的被动式IAST的应用以及优势还有劣势的看法以及存在的一些问题和新的思路。希望能和大家一起交流探讨。

Passive IAST原理

核心

利用Instrumentation API我们可以提供一个Agent代理用来监测和协助运行在JVM上的程序，可以在程序启动前修改类的定义。简单来说就是在运行的应用中织入一个我们的程序。而在这个程序中我们就拥有了获取当前应用的上下文，在应用运行中实时分析数据流以及调用栈的能力，同时也可以通过ASM对已经加载的class进行分析与修改。

在织入我们检测的逻辑代码后，被动式IAST主要是通过污点跟踪的方法来对漏洞进行检测，因为是实时数据流，所以这里我们称为动态污点传播分析。这是与静态扫描中污点分析的一个小区别，而其优势和劣势也主要在这里。

阅读剩余部分 –

CVE-2010-1622很老的的一个洞了，最近在分析Spring之前的漏洞时看到的。利用思路很有意思，因为这个功能其实之前开发的时候也经常用，当然也有很多局限性。有点类似js原型链攻击的感觉，这里分享出来。

介绍

CVE-2010-1622因为Spring框架中使用了不安全的表单绑定对象功能。这个机制允许攻击者修改加载对象的类加载器的属性，可能导致拒绝服务和任意命令执行漏洞。

Versions Affected:
3.0.0 to 3.0.2
2.5.0 to 2.5.6.SEC01 (community releases)
2.5.0 to 2.5.7 (subscription customers)

Earlier versions may also be affected

阅读剩余部分 –

介绍

随着信息技术的发展，软件开发技术呈多样性发展趋势，其中Java在开发领域具有一定代表性。软件效率的提高同时增大了漏洞发现与防御的挑战。在当前WAF与静态代码检测都发展迅速的情况下，WAF在一些特殊情况下可能无法正确拦截，而静态检测的缺点在于误报率高。因此需要进行动态交互式监测，由此可以从底层对于攻击向量进行检测或者验证程序中是否实际存在安全漏洞。

插桩技术是在保证目标程序原有逻辑完整的情况下，在特定的位置插入代码段，从而收集程序运行时的动态上下文信息。

目前基于插桩技术实现Java程序的动态交互安全监测已经有一些实现形式，如RASP，IAST。在Java中插桩通过Instrument以及字节码操作工具(如:ASM,Javassist,Byte Buddy等)实现。接下来会简要介绍该技术以及相关知识内容。

阅读剩余部分 –

SpEL介绍

认识SpEL

Spring Expression Language（简称SpEL）是一种强大的表达式语言，支持在运行时查询和操作对象图。语言语法类似于Unified EL，但提供了额外的功能，特别是方法调用和基本的字符串模板功能。同时因为SpEL是以API接口的形式创建的，所以允许将其集成到其他应用程序和框架中。
Spring框架的核心功能之一就是通过依赖注入的方式来管理Bean之间的依赖关系，而SpEl可以方便快捷的对ApplicationContext中的Bean进行属性的装配和提取。除此以外SpEL还能做的有很多，从官方文档中我们可以看到，SpEL支持以下功能。

• Literal expressions
• Boolean and relational operators
• Regular expressions
• Class expressions
• Accessing properties, arrays, lists, maps
• Method invocation
• Relational operators
• Assignment
• Calling constructors
• Bean references
• Array construction
• Inline lists
• Ternary operator
• Variables
• User defined functions
• Collection projection
• Collection selection
• Templated expressions

阅读剩余部分 –

假期最后一天，收到王老师（同学）发现的一款安卓木马，最后发现该木马实则在去年年底就已爆发过一次。不过伪装手法有趣，值得学习。

木马分析

木马主要来源：酷安

不法分子将木马与各式各样的软件捆绑一起，比如目前我看到的几种（绿色守护/APP Setting/Root_Explorer_v4.0.5）

木马样本：timesync.apk

其他伪装或者捆绑名称：一键卸载大师/wallpapercropper/谷歌应用下载器/软件一键移动到SD卡

为了简单说明该木马用途，这里借用下猎豹移动安全实验室的分析结果：

该微信盗号木马暗藏于鱼龙混杂的各类第三方定制ROM和APP中，伪装为安卓系统服务模块，通过弹出伪造的微信登录和支付的钓鱼界面，获得用户的登录密码以及支付密码后，再通过监控用户短信等手段，远程窃取微信支付绑定的银行卡余额。

经过分析该木马主要功能为如下：

上报用户短信，劫持微信钓鱼获取密码and支付密码，上传微信数据，卸载微信，摧毁系统

具体功能可以看看我截的控制端的图：

阅读剩余部分 –