大家好,今天给大家带来的是weblogic的XXE漏洞复现,虽然这个漏洞爆出已有一段时间了,但我在工作中经常遇到weblogic这个中间件的,这几天复现了一下这个XXE漏洞,特此记录一下。...
Java反序列化漏洞基础知识 | 干货
基础知识 java序列化把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。java反序列化...
【java安全】从0到1--第4章
点击蓝字关注我们微信搜一搜暗魂攻防实验室知识点1、JavaEE-反序列化-解释&使用&安全2、JavaEE-安全-利用链&直接重写方法3、JavaEE-安全-利用链&外...
【基础漏洞】不安全的反序列化
什么是序列化和反序列化漏洞介绍复现过程pickle 模块介绍魔术方法 `__reduce__()`漏洞场景举例复现漏洞危害修复建议 什么是序列化和反序列化 序列化和反序列化是指用于将对象或数据结构转换...
2023HW初中高适用面试题及答案
点击上方蓝字 关注安全知识 引 言 一开始会问问你在工作中负责的是什么工作(如果在职),参与过哪些项目。还有些会问问 你之前有没有护网的经历,如果没有的话一般都会被定到初级(技术特牛的另说)。下面就 ...
JAVA反序列化初食
基本常识序列化 类实例->字节流反序列化 字节流->类实例序列化时自动调用 writeObject反序列化 readObject类要实现序列化应满足的条件实现java.io.Seriali...
SnakeYaml反序列化分析
0x00 前言偶然间看到SnakeYaml的资料感觉挺有意思,发现SnakeYaml也存在反序列化利用的问题。借此来分析一波。0x01 SnakeYaml 使用SnakeYaml 简介SnakeYam...
JAVA安全|基础篇:浅谈序列化协议解析及应用
本文为JAVA安全系列文章第二十八篇,主要学习序列化协议语法以及序列化协议的实战应用。0x01 原始序列化数据的解析现在有如下一个实现了java.io.Serializable接口的简单P...
PHP反序列化—字符逃逸
嘿嘿,时隔几个月没有发公众号文章了,最近在学习,没有怎么看公众号(公众号也是随缘发,哈哈哈哈(狗头🐶保命~)),这几个月正好学了学PHP反序列化,文章之前发在了我的小博客(没几篇文章😆),正好发一下公...
反序列化系列漏洞之PHP反序列化
反序列化漏洞在众多场景中,均有所涉及,这里就简单整理个反序列化的系列漏洞吧。如下图所示。每篇文章仅限测试学习,相关的测试案可能不全,有时间再补充吧。祝大家五一快乐!1、基本概念序列化(串行化):将变量...
迷你天猫商城漏洞审计
一、项目简介迷你天猫商城是一个基于Spring Boot的综合性B2C电商平台,需求设计主要参考天猫商城的购物流程:用户从注册开始,到完成登录,浏览商品,加入购物车,进行下单,确认收货,评价等一系列操...
JAVA代码审计-迷你天猫商城
一、项目简介迷你天猫商城是一个基于Spring Boot的综合性B2C电商平台,需求设计主要参考天猫商城的购物流程:用户从注册开始,到完成登录,浏览商品,加入购物车,进行下单,确认收货,评价等一系列操...