奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。安全通告近日,奇安信CERT监测到Oracle JDeveloper ADF Faces 远程代码执行漏洞(CVE-2022-2...
06月24日13 viewscert
cve
攻击者评论
Oracle JDeveloper ADF Faces 远程代码执行漏洞安全风险通告
06月24日13 viewscert
cve
攻击者评论
06月24日13 viewscert
cve
攻击者评论
Shiro反序列化初探
0x1 Shiro介绍Shiro是java中执行验证、授权和会话管理的一个安全框架,广泛用于Java网站的开发中。随着Shiro反序列漏洞(CVE-2016-4437)被披露,直到现在在一些hw、渗透...
06月24日代码审计5 viewsjava
log
shiro评论
Fastjson反序列化漏洞复现
点击上方“蓝字”,发现更多精彩。0x00 漏洞介绍java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjson,fastjson是阿里巴巴...
06月23日31 viewsjava
json
rce评论
Java反序列篇-浅谈Shiro利用分析
前言在前面几篇文章中从最容易入手的URLDNS链条,再到CC6,CC1,CC2基本可以说把所有CC链都学完了,其他的CC链的出现也是为了解决黑名单的问题。借用P牛的一段话,我们既然已经有C...
06月23日8 viewsclass
shiro
序列化评论
告别脚本小子系列丨JAVA安全(6)——反序列化利用链(上)
0x01 前言我们通常把反序列化漏洞和反序列化利用链分开来看,有反序列化漏洞不一定有反序列化利用链(经常用shiro反序列化工具的人一定遇到过一种场景就是找到了key,但是找不到gadget,这也就是...
06月22日12 viewsysoserial
反序列化
序列化评论
【代码审计】反序列化漏洞复现
声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!一、前言 ...
06月21日8 viewsdata
json
payload评论
JDBC 攻击之反序列化操作导致 Weblogic SSRF
★且听安全★-点关注,不迷路!★漏洞空间站★-优质漏洞资源和小伙伴聚集地!概述最近在网上看到有大佬公布了一个有意思的 Weblogic SSRF ,本质上其实是 Oracle JDBC Driver ...
06月19日21 viewsoracle
ssrf
weblogic评论
热门Fastjson 中出现高危RCE漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全研究员详述了最近修复的位于热门 Fastjson 库中的一个高危漏洞(CVE-2022-25845),它可被用于执行远程代码。该漏...
06月17日124 viewshttps
java
type评论
【漏洞通告】Laravel远程代码执行漏洞(CVE-2022-31279)
HFCTF-2021-Final-easyflask-解题步骤详解
考点Python os.path.join trick、环境变量暴露敏感信息、pickle 反序列化 RCE、Flask Session 伪造思路进入题目,hint提示/file?file=index...
06月10日9 viewsfile
key
源码评论
以迷宫类比PHP反序列化链
一 、本文核心如果以迷宫类比反序列化漏洞,__destruct()与__toString()就是入口;__call、同名类、call_user_func_array、call_user_func为路径...
06月07日5 viewsdata
file
php评论
Java反序列化基础篇-类加载器
0x01 前言这篇文章/笔记的话,打算从类加载器,双亲委派到代码块的加载顺序这样来讲。最后才是加载字节码。0x02 类加载器及双亲委派说类加载器有些师傅可能没听过,但是说 Java ClassLoad...
06月07日8 viewsapp
class
java评论