哈喽小伙伴们,好长时间没有更新了,因为我们实验室的师傅们都比较忙,本人也刚转型去做数据安全方面,但是大家不用担心,建立实验室的初心我们会一直守护下去,那...
Mysql JDBC反序列化
明天要面试,不想复习啊。之前不怎么学习这个漏洞。但是最近被问了两次,而且后来我发现不同类型数据库的反序列化漏洞还挺多的。看了看资料略写写还算简单。主要是分析反序列化部分,CC链部分不管,mysql协议...
Java 反序列化漏洞仍然存在
几个月前,Contrast 安全团队向 VMWare 安全团队报告了有关 Spring Kafka 的 Java 反序列化漏洞。它立即引起了我的注意,我开始分析这个错误。如果您有兴趣,可以查看我之前的...
漏洞预警 | XXL-RPC反序列化漏洞
0x00 漏洞编号CVE-2023-451460x01 危险等级高危0x02 漏洞概述XXL-RPC 是一个分布式服务框架,提供稳定高性能的RPC远程服务调用功能。拥有"高性能、分布式、注册中心、负载...
Shiro 550反序列化漏洞分析
Shiro 550反序列化漏洞分析因为现阶段工作涉及到了审计的相关内容,接下来会多看审计的东西。由此记录以下。不过还是以dotnet为主。私以为,程序上的问题大差不差,触类旁通吧。多看看没坏处。参考直...
漏洞复现 致远M1 usertokenservice 反序列化RCE漏洞
0x01 阅读须知融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统...
.net反序列化的新利用
在Hexacon 2023 演讲中,有一个议题为“Exploiting Hardened .NET Deserialization: New Exploitation Ideas and Abuse ...
漏洞预警 | Spring AMQP反序列化漏洞
0x00 漏洞编号CVE-2023-340500x01 危险等级高危0x02 漏洞概述Spring AMQP是Spring框架提供的一个基于AMQP协议的消息队列框架,用于简化Spring应用程序对消...
.NET 反序列化最新攻击链 XamlImageInfo
0x01 基本介绍 XamlImageInfo类属于命名空间 System.Activities.Presentation.Internal,通常用于WPF处理与图像和图标相关的功能。本次更新的gad...
用友NC系列漏洞检测利用工具,支持一键检测、命令执行回显、文件落地、一键打入内存马、文件读取等
安全工具 01 工具介绍 用友NC系列漏洞检测利用工具,支持一键检测、命令执行回显、文件落地、一键打入内存马、文件读取等。 02 集成的漏洞 BshServlet rce jsInvoke rce D...
【漏洞预警】Spring AMQP 反序列化漏洞(CVE-2023-34050)
漏洞描述:Spring AMQP是将核心 Spring 概念应用于基于 AMQP 的消息传递解决方案的开发。Spring AMQP中支持添加反序列化类名白名单,用于防止恶意类被反序列化。在受影响版本中...
【漏洞通告】用友NC FileParserServlet 远程代码执行漏洞安全风险通告
漏洞背景近日,嘉诚安全监测到用友安全中心发布漏洞通告,用友NC存在反序列化漏洞,漏洞编号:暂无。用友NC是由用友软件股份有限公司开发的一款企业级管理软件,旨在为企业提供全面的管理解决方案。鉴于漏洞危害...
58