java反序列化工具；weblogic反序列化工具；jboss反序列化工具。

[JBoss实战：服务器配置指南].(杰米等).郅晶晶.扫描版

jboss-logging-3.1.0.GA

使用注意： 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版，请尽量按照正常思路来用，比如Url填写清楚，IP地址写对了，报错或者抛异常神马的别怪我，调输入校验好蛋疼。 本工具与网上已公布工具优点： 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能，利用的是jboss的热部署功能，直接部署一个war包，一键返回一个菜刀shell 3. 反弹shell部分更完美，不再加载远程war包，直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制，本地（4.2.3.GA）测试成功，其他版本请自测 5. 体积更小，不再依赖java环境，但程序采用.net编写，需要.net 4.0环境 待完成： weblogic回显结果测试中，稍后加入

JSR 303，全称为Java Specification Request 303，是Java Community Process (JCP) 提出的一个关于Bean Validation的标准，旨在提供一种统一的方式来验证JavaBeans对象的属性。这个标准定义了一种元数据模型以及相关的API，使得开发者可以在运行时对对象进行校验，确保数据的正确性。在JSR 303中，主要涉及到三个关键组件，这些组件在描述中提到的三个jar包中体现： 1. **Hibernate Validator**：作为JSR 303的实现，Hibernate Validator是领先的Java Bean Validation框架。`hibernate-validator-4.3.2.Final.jar`就是这个实现的版本。它提供了丰富的约束注解，如`@NotNull`, `@Size`, `@Pattern`等，可以方便地在bean的字段上声明验证规则。此外，Hibernate Validator还支持自定义验证注解和约束，以及国际化消息支持，以适应不同的应用场景。 2. **JBoss Logging**：`jboss-logging-3.1.0.CR2.jar`是JBoss社区开发的日志框架，它为应用提供了一个统一的日志接口，可以适配多种日志实现，如Log4j、Logback等。在Hibernate Validator中，JBoss Logging用于处理验证过程中产生的日志信息，帮助开发者追踪错误和调试代码。 3. **Validation API**：`validation-api-1.0.0.GA.jar`是JSR 303规范的API接口定义，包含了验证的核心接口和注解。例如，`javax.validation.Validation`接口提供了验证器的创建，`javax.validation.ConstraintViolation`接口表示验证失败的情况。这个API使得其他库可以轻松地与JSR 303兼容，无论它们是否使用了Hibernate Validator的具体实现。 这三个库一起构成了JSR 303验证机制的基础。在实际开发中，通常会将这些jar包加入到项目的类路径中，然后在Bean对象的属性上使用JSR 303提供的注解进行约束声明，通过`Validator`接口进行验证操作。例如： ```java public class User { @NotNull private String name; @Size(min = 6, max = 20) private String password; // getters and setters } ``` 在此基础上，可以创建一个`Validator`实例，对User对象进行验证： ```java ValidatorFactory factory = Validation.buildDefaultValidatorFactory(); Validator validator = factory.getValidator(); User user = new User(); Set> violations = validator.validate(user); if (!violations.isEmpty()) { for (ConstraintViolation violation : violations) { System.out.println(violation.getMessage()); } } ``` 这样，当用户输入不符合规则的数据时，系统将打印出相应的错误信息，从而提供良好的用户体验和数据安全性。JSR 303和其相关实现的使用，简化了数据验证的代码，提高了代码的可读性和可维护性，是现代Java应用中不可或缺的一部分。

jboss-5.0.1.GA.zip是在官网下载

jboss-eap-6.4.0.zip

用于测试Websphere Weblogic等j2ee企业级应用服务器。每点击一个页面会在标准输出打印信息，可用于初学者测试负载均衡，效果明显。

该工具可以检测jboss、weblogic、websphere等序列化漏洞，除此之外还能一键上传木马、命令执行、文件管理以及系统的信息。可以说是做安全测试的必备工具

JBoss Modules 是一个适用于Java的模块化(非分层)类加载以及执行环境的实现。换句话说，不同于Java传统的使用单个类加载器载入classpath中的所有JAR文件，每一个库(library,可以理解为完成某一个功能的一系列jar的组合)成为一个module，该module仅链接其依赖的其他module，而不再依赖其它任何资源。JBoss Module实现了一个线程安全的，快速的，高并发的类加载器委派(delegating)模型，再加上一个可扩展的模块解析引擎，形成一个独特的，简单的，强大的应用程序执行和分布系统。