序列化 - 第 3 | CN-SEC 中文网

安全文章

【渗透知识】CC1利用链分析

免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不承担任何法律及连带责任。[ 简介 ]—— 其实...

02月13日3 views评论

阅读全文

CTF专场

从CTF中学习PHP反序列化的各种利用方式

文章来源｜MS08067 Web高级攻防第3期作业本文作者：绿冰壶（Web高级攻防3期学员）前言|序列化与反序列化为了方便数据存储,php通常会将数组等数据转换为序列化形式存储，那么什么是序列化...

02月12日7 views评论

阅读全文

安全文章

Java XStream 反序列化：Gadget 挖掘思路分享

目录一、前言二、XStream简介三、历史漏洞四、Gadget挖掘思路五、总结一前言Java语言中最常见的一类漏洞就是反序列化漏洞，在各种数据格式到Java对象的转化过程中，常常...

02月11日21 views评论

阅读全文

渗透测试面试涉及问题

SQL 相关SQL 注入能否百分百预编译：理论上预编译可以防止 SQL 注入，但在实际中很难做到百分百。因为可能存在开发人员未正确使用预编译、框架存在漏洞、数据库驱动问题等情况导致预编译失效。SQL ...

02月08日安全职场10 views评论

阅读全文

安全漏洞

Cisco ISE反序列化漏洞

0x00 漏洞编号CVE-2025-201240x01 危险等级高危0x02 漏洞概述ISE是下一代NAC解决方案，用于在零信任架构内管理终端、用户和设备对网络资源的访问。0x03 漏洞详情CVE-2...

02月07日29 views评论

阅读全文

安全文章

XXL-JOB-Admin 前台api未授权 hessian2反序列化

点击下方名片，关注公众号，一起探索网络安全技术请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任...

02月07日42 views评论

阅读全文

代码审计

Java安全基础汇总

Java安全java的序列化和反序列化Java 序列化是指把 Java 对象转换为字节序列的过程ObjectOutputStream类的 writeObject() 方法可以实现序列化Java 反序列...

01月22日34 views评论

阅读全文

安全文章

ViewState反序列化漏洞详解

前言在一次测试过程中遇到了这个ViewState的反序列化漏洞，当时对于利用方式以及原理都不太清楚，因此有了这边文章，学习一下viewstate的漏洞原理以及利用方式。ViewState基础介绍Vie...

01月22日19 views评论

阅读全文

CTF专场

CTF:Phar反序列化漏洞学习笔记

使用phar://伪协议读取文件时，文件会被解析成phar对象，phar对象内的以反序列化形式存储的用户自定义元数据信息会被反序列化。影响函数phar结构phar由四部分组成，分别是1.stub是一个...

01月21日5 views评论

阅读全文

代码审计

PHP反序列化新手入门学习总结

最近写了点反序列化的题，才疏学浅，希望对CTF新手有所帮助，有啥错误还请大师傅们批评指正。php反序列化简单理解首先我们需要理解什么是序列化，什么是反序列化？PHP序列化：serialize()序列化...

01月20日11 views评论

阅读全文

安全工具

Java反序列化绕WAF tricks及一个GUI工具

byname的博客-java反序列化绕waf-tricks及一个gui工具学过Java,php序列化知识的师傅们都知道，Java的序列化流格式相比于PHP序列化流格式要复杂许多，以至于...

01月17日9 views评论

阅读全文

安全工具

SerializeJava 图形化工具

SerializeJava SerializeJava是用Go语言+GUI库Fyne开发的，展示JAVA序列化流以及集成一键插入脏数据,UTF过长编码绕WAF(Utf OverLoad Encodin...

01月16日13 views评论

阅读全文