“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”...
06月01日32 views评论fastjson
person
【A9】Fastjson反序列化漏洞原理
06月01日32 views评论fastjson
person
06月01日32 views评论fastjson
person
【基础漏洞】不安全的反序列化
什么是序列化和反序列化漏洞介绍复现过程pickle 模块介绍魔术方法 `__reduce__()`漏洞场景举例复现漏洞危害修复建议 什么是序列化和反序列化 序列化和反序列化是指用于将对象或数据结构转换...
05月23日24 views评论反序列化
序列化
JAVA安全|基础篇:浅谈序列化协议解析及应用
本文为JAVA安全系列文章第二十八篇,主要学习序列化协议语法以及序列化协议的实战应用。0x01 原始序列化数据的解析现在有如下一个实现了java.io.Serializable接口的简单P...
05月15日11 views评论private
序列化
【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇)
CommonsBeanutils及shiro中利用
前言这篇将介绍一下 CommonsBeanutils 链,以及没有 commons-collections 的Shiro反序列化利用Apache Commons BeanutilsApache Com...
03月25日10 views评论bean
属性
皮蛋厂的学习日记 | 2023.3.16 2021级fake_s0u1 Java反射
Java反射文章首发于先知社区 皮蛋厂的学习日记系列为山东警察学院网安社成员日常学习分享,希望能与大家共同学习、共同进步~前言类 函数 方法 对象反射的定义forNameClass.newI...
03月16日16 views评论定义
对象
细谈使用CodeQL进行反序列化链的挖掘过程
前言 学习了一下CodeQL的各种使用方式,决定使用CodeQL细谈一下CC链挖掘,通过一步一步的朝着我们既定的目标进行靠近,最终成功的找到了一条鸡肋的二次反序列化的入口 :sob::sob::sob...
03月12日18 views细谈使用CodeQL进行反序列化链的挖掘过程已关闭评论ble
SecIN安全技术社区
JAVA反射学习
STATEMENT声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此...
03月06日6 views评论person
构造函数
XXE漏洞快速入门
在下方公众号后台回复:【网络安全】,可获取给你准备的最新网安教程全家桶。一:初识XXE漏洞1.XXE简介XXE就是XML外部实体注入,当允许引用外部实体时, XML数据在传输中有可能会被不法分子被修改...
01月03日15 views评论html
name
java反射
反射是大多数语言里都必不不可少的组成部分,对象可以通过反射获取他的类,类可以通过反射拿到所有方法(包括私有),拿到的方法可以调用,总之通过“反射”,我们可以将Java这种静态语言附加上动态特性。什么是...
09月15日15 views评论hashcode
person
Java 反编译,小白也能用!
点击蓝字 关注我们内容源于蓝桥云课社区——轻实验,戳文末“阅读原文”可开启环境接触过 Java 语言的你肯定知道,程序员所书写的是源代码,通过编译器可以生成字节码,然后通过解释器转换为机器码,这样,机...
08月23日18 views评论反编译
源代码
Java反序列化基础篇反序列化概念与利用
0x01 前言写这篇文章,是想在 Java 反序列化基础的地方再多过几遍,毕竟万丈高楼平地起。我是非常不建议新手们一上来就开始分析 CC 链,就开始看 shiro 的 POC 的,我觉得还是得先打好基...
08月21日22 views评论反序列化
序列化