安全文章

Github投毒分析

今天看到团队有兄弟说github上有个exp像是有问题,刚刚就给他下载下来看了看了一下,以下是分析过程(不会逆向,正在学习,简单的看一下,不一定对):先把东西下载下来,发现有一堆文件,其中有个jar包...
阅读全文
代码审计

反序列化漏洞的防御与拒绝服务

哆啦安全 ,赞 7 最近两个月我一直在做拒绝服务漏洞相关的时间,并收获了Spring和Weblogic的两个CVE(还有一些报告也许正在审核和修复中)但DoS漏洞终归是鸡肋洞,并没有太大的意义,比如之...
阅读全文
代码审计

初识Java反序列化

前言 研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化和反序列化的学习。 大致内容如下: 序列化和反序列化示例 序列化数据组成解构 反序列化漏洞形成...
阅读全文