deserialize - 第 2 | CN-SEC 中文网

安全文章

Apache InLong < 1.12.0 JDBC反序列化漏洞分析(CVE-2024-26579)

漏洞描述Apache InLong 是开源的高性能数据集成框架，用于业务构建基于流式的数据分析、建模和应用。受影响版本中，由于 MySQLSensitiveUrlUtils 类只限制了?形式的JDBC...

06月03日47 views评论

阅读全文

安全文章

DSL-JSON参数走私浅析

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把“亿人安全“设为星标”，否则可能就看不到了啦原文由作者授权，首发在奇安信攻防社区https://forum.butian.net/share/...

05月20日17 views评论

阅读全文

安全漏洞

Solarwinds DeserializeFromStrippedXml RCE

漏洞信息https://www.zerodayinitiative.com/advisories/ZDI-22-1664/https://www.zerodayinitiative.com/advis...

02月16日19 views评论

阅读全文

安全漏洞

CVE-2023-34040 Kafka 反序列化RCE

漏洞描述Spring Kafka 是 Spring Framework 生态系统中的一个模块，用于简化在 Spring 应用程序中集成 Apache Kafka 的过程，记录 (record) 指 K...

02月15日65 views评论

阅读全文

代码审计

从漏洞挖掘的角度深入分析shiro反序列化漏洞

前言相信大家在找工作还是hvv面试的时候，shiro反序列化这种标志性的漏洞是最常问的，我们应该大都是通过背漏洞原理来蒙混过关，而且就在上个月也是通过shiro反序列化为入口，成功打穿一个医院的内网，...

12月04日37 views评论

阅读全文

安全文章

某报表系统黑名单绕过分析-附POC

免责声明：本公众号致力于安全研究和红队攻防技术分享等内容，本文中所有涉及的内容均不针对任何厂商或个人，同时由于传播、利用本公众号所发布的技术或工具造成的任何直接或者间接的后果及损失，均由使用者本人承担...

09月21日298 views评论

阅读全文

安全文章

Proxynotshell 反序列化及 CVE-2023-21707 漏洞研究

漏洞原理流程梳理先分析一下与 powershell 接口交互的 xml 数据的处理流程。xml 信息传入后，会被 PSSerializer.Deserialize 反序列化后作为 PSObject...

07月04日81 views评论

阅读全文

代码审计

【基础漏洞】不安全的反序列化

什么是序列化和反序列化漏洞介绍复现过程pickle 模块介绍魔术方法 `__reduce__()`漏洞场景举例复现漏洞危害修复建议什么是序列化和反序列化序列化和反序列化是指用于将对象或数据结构转换...

05月23日38 views评论

阅读全文

安全文章

Shiro550另类检查方式笔记

整体处理函数如下：传入错误key：通过393行传入subjectContext，调用getRememberedSerializedIdentity函数，该函数位内的org/apache/shiro/w...

05月15日68 views评论

阅读全文

代码审计

原创 | 从KCON2022议题来看fastjson新版本RCE

点击蓝字关注我们fastjson <= 1.2.80首先还是贴一点前面几篇文章已经提到的分析，作为一点对fastsjon 1.2.80的基础知识，当然，还是不懂得，可以看我有一篇fastjson...

03月24日98 views评论

阅读全文

安全文章

从KCON2022议题来看fastjson新版本RCE

fastjson \<= 1.2.80 首先还是贴一点前面几篇文章已经提到的分析，作为一点对fastsjon 1.2.80的基础知识，当然，还是不懂得，可以看我有一篇fastjson的分析合集，...

03月12日86 views已关闭评论

阅读全文

安全文章

从JDBC attack到detectCustomCollations利用范围扩展

出品|先知社区(ID:RoboTerh）声明以下内容，来自先知社区的RoboTerh作者原创，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，长白山攻防实验室以及...

02月21日18 views评论

阅读全文

Apache InLong < 1.12.0 JDBC反序列化漏洞分析(CVE-2024-26579)

DSL-JSON参数走私浅析

Solarwinds DeserializeFromStrippedXml RCE

CVE-2023-34040 Kafka 反序列化RCE

从漏洞挖掘的角度深入分析shiro反序列化漏洞

某报表系统黑名单绕过分析-附POC

Proxynotshell 反序列化及 CVE-2023-21707 漏洞研究

【基础漏洞】不安全的反序列化

Shiro550另类检查方式笔记

原创 | 从KCON2022议题来看fastjson新版本RCE

从KCON2022议题来看fastjson新版本RCE

从JDBC attack到detectCustomCollations利用范围扩展

在线咨询

微信