环境配置l 系统:Winserver2016l 数据库:Oracle11Gl JDK:java 1.7.0_51l 复现版本:用友NC6.5源码分析Jar包所在目录为:yonyouNC6.5/modu...
由Django-Session配置引发的反序列化安全问题
漏洞成因漏洞成因位于目标配置文件settings.py下关于这两个配置项SESSION_ENGINE:在Django中,SESSION_ENGINE 是一个设置项,用于指定用于存储和处理会话...
xxl-rpc - 分布式服务框架 反序列化 - CVE-2023-45146
概括XXL-RPC是一个高性能、分布式RPC框架。有了它,就可以使用Netty框架和Hessian序列化机制来搭建TCP服务器了。使用此类配置时,攻击者可能能够连接到服务器并提供恶意序列化对象,这些对...
CVE-2023-34050:Spring AMQP 反序列化漏洞
CVE-2023-34050 是Spring AMQP 项目中的反序列化漏洞,Spring AMQP 项目是用于开发消息传递解决方案的流行 Java 库。该漏洞允许攻击者通过发送特制消息将恶意代码注入...
脚本小子的成长日记0x002-JAVA反序列化
脚本小子的成长日记0x002-JAVA反序列化反正我是挺头疼本来计划是从0x001过后的一周就把这篇文章更新出来的,但是遇到了亿点点小小的情绪问题于是就一直咕咕咕到现在 我谢罪0.0 前置知...
工具 | YongYouNcTool
注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。0x00 简介YongYouNcTool是一款用友NC系列漏洞检测利用工具,支持一...
记一次superset反序列化分析
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后...
漏洞预警 | 用友NC系统反序列化漏洞
0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述用友NC以“全球化集团管控、行业化解决方案、全程化电子商务、平台化应用集成”的管理业务理念而设计,采用J2EE架构和先进开放的集团级开发平...
【漏洞复现】shiro 反序列化 (CVE-2016-4437)
漏洞介绍Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro易于理解的API,开发者可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最...
【漏洞预警】用友U8Cloud ServiceDispatcher接口 前台反序列化漏洞
漏洞描述:用友U8 cloud 是一款集成的企业资源计划(ERP)解决方案,旨在帮助不断发展的企业同步前后端业务功能。用友U8 cloud 在 3.6 版本之前存在反序列化漏洞。未授权的攻击者利用不安...
JAVA反序列化-CC1链分析
一、组件介绍ApacheCommons当中有⼀个组件叫做ApacheCommonsCollections,主要封装了Java的Collection(集合)相关类对象,它提供了很多强有⼒的数据结构类型并...
Apache ActiveMQ NMS RCE 漏洞分析
漏洞信息漏洞描述ZDIThis vulnerability allows remote attackers to execute arbitrary code on affected installa...
58