反序列化漏洞 - 第 6 | CN-SEC 中文网

安全文章

帆软Finebi_V5.1.10_channel反序列化漏洞复现

1.安装复现版本:FineBI V5.1.10安装后，后台地址 webroot/decision/login2.反编译找到所有以fine开头的包，复制到单独文件夹进行反编译3.漏洞复现在fine-de...

01月07日46 views评论

阅读全文

安全工具

ysoSimple：简易的Java漏洞利用工具

01 工具介绍 ysoSimple：简易的Java漏洞利用工具，集成Java反序列化，Hessian反序列化，XStream反序列化，SnakeYaml反序列化，Shiro550，JSF反序列化，SS...

01月06日29 views评论

阅读全文

安全漏洞

Apache MINA反序列化漏洞

0x00 漏洞编号CVE-2024-520460x01 危险等级高危0x02 漏洞概述Apache MINA是一个高性能的网络通信框架，旨在帮助开发人员快速构建和管理网络应用程序。0x03 漏洞详情C...

01月05日21 views评论

阅读全文

安全文章

SecFox运维安全管理与审计系统FastJson反序列化漏洞

漏洞介绍在当今复杂多变的计算机环境中SecFox运维安全管理与审计系统在近期的一次安全检查中发现了一个FastJson反序列化漏洞。该漏洞源于FastJson库在解析json数据时，未对输入进...

01月02日18 views评论

阅读全文

安全文章

【技术分享】Shiro框架下文件读取漏洞快速利用思路

阅读须知本公众号文章皆为网上公开的漏洞，仅供日常学习使用，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。朋友们现在...

01月01日14 views评论

阅读全文

安全漏洞

CVE-2024-52046 Apache MINA反序列化漏洞

漏洞描述Apache MINA 中的 ObjectSerializationDecoder 使用 Java 的原生反序列化协议来处理传入的序列化数据，但缺乏必要的安全检查和防御。此漏洞允许攻击者通过发...

12月31日30 views评论

阅读全文

安全文章

附EXP：中间件漏洞-WebLogic T3协议反序列化漏洞

链接地址：http://www.securepulse.website/archives/weblogic-t3-vul原文始发于微信公众号（SecurePulse）：附EXP：中间件漏洞-WebLo...

12月28日7 views评论

阅读全文

安全文章

浅析Dubbo Kryo/FST反序列化漏洞（CVE-2021-25641）

0x00 前言学习下最近爆出的Dubbo漏洞。0x01 漏洞原理Dubbo Provider即服务提供方默认使用dubbo协议来进行RPC通信，而dubbo协议默认是使用Hessian2序列化格式进行...

12月28日10 views评论

阅读全文

安全漏洞

Oracle WebLogic Server反序列化漏洞(CVE-2024-21216)

免责声明：请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。简介WebLogic...

12月25日58 views评论

阅读全文

Typecho 反序列化漏洞分析

目录漏洞分析：思路PHP反序列化漏洞可利用的魔术方法满足的条件为：分析过程：附上网络上的EXP：EXP分析利用过程：参考其他call_user_func （把第一个参数作为回调函数调用）array_...

12月24日安全博客20 views评论

阅读全文

代码审计

Java反序列化漏洞 | log4j2远程代码执行漏洞原理+漏洞复现

0x1 前言在看我写的log4j2远程代码执行漏洞之前，师傅们可以看看我前面写的《JNDI注入原理及利用IDEA漏洞复现》这篇文章，因为log4j2远程代码执行漏洞里面有讲JNDI注入，...

12月24日23 views评论

阅读全文

安全工具

Java反序列化GUI利用工具

反序列化漏洞是一个常见且危险的安全风险，如果没有做好防范，很容易就会让攻击者乘虚而入。为了评估我们的系统安全性，试了一个开源工具——Java反序列化GUI利用工具。这个工具简单易用，只需直接运行 s...

12月23日45 views评论

阅读全文

在线咨询

微信