python反序列化漏洞前置知识漏洞原理代码中进行了反序列化操作,反序列化魔术方法可以被触发,且反序列化的参数可控函数使用:pickle.dump(obj, file) : 将对象序列化后保存到文件p...
pgAdmin (<=8.3) 会话处理中的路径遍历导致不安全的反序列化和远程代码执行 (RCE)
概括pgAdmin <= 8.3 在会话处理代码中反序列化用户会话时受到路径遍历漏洞的影响。如果服务器在 Windows 上运行,未经身份验证的攻击者可以加载和反序列化远程 pickle 对象并...
【安全科普】Python之pickle反序列漏洞
网安教育培养网络安全人才技术交流、学习咨询0x00 Python对象序列化库 pickle简介与其他语言相同,python也有序列化/反序列化的方式python序列化主要有pickle、marshal...
Hugging Face平台惊现100多个恶意AI/ML模型
As many as 100 malicious artificial intelligence (AI)/machine learning (ML) models have been discove...
AI供应链安全:Hugging Face 恶意ML模型事件分析
01 Hugging Face供应链攻击事件分析事件背景近期由JFrog安全团队监控发现,Hugging Face平台上的某些机器学习模型可能被用于对用户环境进行攻击。这些恶意的模型在加载时会导致代码...
打靶手记之hackmyvmUnbakedPie
lia之前virtualbox有点问题,今天解决了,今天继续更新hackmyvm。信息收集扫网段扫端口 192.168.56.102摘选一下有用信息:端口5003上运行的服务使用了WSGIServer...
漏洞预警 | Apache Airflow pickle反序列化漏洞
0x00 漏洞编号CVE-2023-509430x01 危险等级中危0x02 漏洞概述Apache Airflow是一个开源的工作流自动化平台,Apache Airflow CNCF Kubernet...
反序列化漏洞之Python篇
关于序列化与反序列化 序列化(Serialization):这是将对象的状态转换为可以保存或传输的形式(通常是字节序列)的过程。在这个过程中,对象的公共、私有字段和其他组成部分被转换为可以存储在文件中...
【漏洞预警】Transformers RagRetriever 反序列化漏洞CVE-2023-6730
漏洞描述:Transformers是一个自然语言处理(NLP)库,它提供了大量预训练的深度学习模型和用于处理文本数据的工具,在RagRetriever模型中,存在绕过Hugging Face的pick...
由Django-Session配置引发的反序列化安全问题
漏洞成因漏洞成因位于目标配置文件settings.py下关于这两个配置项SESSION_ENGINE:在Django中,SESSION_ENGINE 是一个设置项,用于指定用于存储和处理会话...
记一次superset反序列化分析
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后...
利用Python反序列化运行加载器实现免杀
前言前几天在看Python的shellcode加载器,在网上找了一个,结果加载器自身就过不了火绒,测试发现是火绒对关键语句进行了识别。所以我们要想办法去掉加载器中明显的特征。原理及实现在绕过静态查杀方...