反序列化 - 第 39 | CN-SEC 中文网

代码审计

java反序列化漏洞(入门)

java序列化和反序列化的概念：序列化：把Java对象转换为字节流的过程。反序列化：把字节流恢复为Java对象的过程。对象的序列化主要有两种用途：把对象的字节序列永久地保存到硬盘上，通常存放在一个文件...

03月23日35 views评论

阅读全文

代码审计

PHP反序列化漏洞(入门1)

漏洞产生原理没有对用户输入的序列化字符串做检测，导致攻击者可以控制反序列化过程。序列化（serialize()）//将一个对象转换成一个字符串反序列化（unserialize()）//将字符串还原成一...

03月22日32 views评论

阅读全文

安全漏洞

pgAdmin (<=8.3) 会话处理中的路径遍历导致不安全的反序列化和远程代码执行 (RCE)

概括pgAdmin <= 8.3 在会话处理代码中反序列化用户会话时受到路径遍历漏洞的影响。如果服务器在 Windows 上运行，未经身份验证的攻击者可以加载和反序列化远程 pickle 对象并...

03月20日103 views评论

阅读全文

安全漏洞

漏洞预警 | pgAdmin4反序列化漏洞

0x00 漏洞编号CVE-2024-20440x01 危险等级高危0x02 漏洞概述pgAdmin是PostgreSQL领先的开源图形化管理工具。pgAdmin4旨在满足新手和有经验的Postgres...

03月20日137 views评论

阅读全文

HW&HVV

Hvv必问 | 你说你不懂shiro各种流量特征？

免责声明本公众号“猎洞时刻”旨在分享网络安全领域的相关知识，仅限于学习和研究之用。本公众号并不鼓励或支持任何非法活动。本公众号中提供的所有内容都是基于作者的经验和知识，并仅代表作者个人的观点和意见。这...

03月19日227 views评论

阅读全文

代码审计

『代码审计』ysoserial CB1 无依赖反序列化利用链分析

点击蓝字，关注我们日期：2024-03-11作者：ICDAT介绍：这篇文章主要是对 ysoserial CB1 的无依赖反序列化无利用链进行分析。0x00 前言我们上一篇文章分析了ysoserial中...

03月13日38 views评论

阅读全文

代码审计

.NET 反序列化Xunit1Executor漏洞分析

01 Xunit1Executor漏洞复现 Xunit.Net 是一款 .NET平台免费开源的单元测试框架，常用于并行测试和数据驱动测试。目前支持 .Net Framework、.Net Core、....

03月10日25 views评论

阅读全文

安全工具

复杂请求下的Shiro反序列化利用工具 Pyke-Shiro

=================================== 免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，...

03月10日65 views评论

阅读全文

安全新闻

网安简报【2024/3/8】

2024-03-08 微信公众号精选安全技术文章总览洞见网安 2024-03-080x1 简单学习.net反序列化ViewState利用頭髪的特計 2024-03-08 22:06:00本文介绍了在....

03月09日34 views评论

阅读全文

安全工具

复杂请求下的Shiro反序列化利用工具

01工具介绍 Pyke-Shieo：Pyke衍生Shiro反序列化利用工具作者：sma11new 由于其他Shiro工具对复杂请求支持比较差，因此在ShiroAtta...

03月09日39 views评论

阅读全文

安全文章

CVE-2015-5254利用与分析

点击上方蓝字关注我引言Java 消息服务（Java Message Service，JMS）应用程序接口是一个Java 平台中关于面向消息中间件（MOM）的API，用于在两个应用程序之间，或分布...

03月09日27 views评论

阅读全文

安全文章

暗月渗透测试年终考核通关过程

免责声明：本公众号所提供的文字和信息仅供学习和研究使用，不得用于任何非法用途。我们强烈谴责任何非法活动，并严格遵守法律法规。读者应该自觉遵守法律法规，不得利用本公众号所提供的信息从事任何违法活动。本公...

03月08日56 views评论

阅读全文

在线咨询

微信