反序列化 - 第 61 | CN-SEC 中文网

安全工具

Fastjson系列-漏洞复现

一、Fastjson概述Fastjson是阿里巴巴公司开源的一款json解析器，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到Java...

03月06日19 views评论

阅读全文

代码审计

java不安全的反序列化

什么是反序列化序列化，是指将内存中的某个对象压缩成字节流的形式，而反序列化，则是将字节流转化成内存中的对象。Java序列化和反序列化处理是基于Java框架的Web应用中比较重要的功能。因为在网络中，无...

03月04日59 views评论

阅读全文

安全文章

追洞计划之渗透测试篇｜Shiro反序列化

前言在渗透测试中，经常需要复现中间件、操作系统、Web组件、CMS等的历史漏洞。在对漏洞复现步骤和漏洞原理没有足够了解的情况下，直接打Exp，是存在一定的风险的，可能对生产环境造成一定的影响。通常的做...

03月03日103 views评论

阅读全文

安全文章

php(phar)反序列化漏洞及各种绕过姿势

本文为看雪论坛优秀文章看雪论坛作者ID：pank1s一简介序列化其实就是将数据转化成一种可逆的数据结构，自然，逆向的过程就叫做反序列化。简单来说就是我在一个地方构造了一个类，但我要在另一个地方去使用它...

03月02日37 views评论

阅读全文

安全文章

Shiro Padding Oracle无key的艰难实战利用过程

‍ Part1 前言大家好，上期分享了银行站的一个Java 的SSRF组合洞案例，这期讲讲分享一个Shiro Padding Oracle漏洞利用过程。Shiro反序列化漏洞自1...

02月25日28 views评论

阅读全文

应急响应

亡羊补牢，记一次演练后风险排查

泛星安全团队泛星安全团队第10篇文章声明文章内容为学习记录，请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。背景客户那边外网一个子域名业务被通报，之前针对官网的...

02月24日34 views评论

阅读全文

代码审计

JAVA安全|基础篇：实战java原生反序列化

申明：本公众号所有文章仅供技术交流，请自觉遵守网络安全相关法律法规，切勿利用文章内的相关技术从事非法活动，如因此产生的一切不良后果与文章作者无关0x00 前言 &nb...

02月21日80 views评论

阅读全文

安全文章

到底如何利用JNDI？

在log4j2漏洞之后很多人常常可以借助扫描器发现JNDI漏洞，却对利用JNDI感到很棘手，这篇文章就从实际出发，尽量少的讲原理，一步一步教你如何利用JNDI漏洞。首先，JNDI分两种协议，一种rmi...

02月21日168 views评论

阅读全文

安全文章

CVE-2020-15148 Yii框架反序列化漏洞复现

漏洞简介Yii Framework是一款高性能的PHP框架，用于开发Web2.0应用程序，具有快速、安全和高效等特点，是目前最流行的PHP开发框架之一。在Yii2 2.0.37及之前的版本中，存在反序...

02月21日1,033 views评论

阅读全文

移动安全

Android反序列化漏洞

序列化和反序列化是指将内存数据结构转换为字节流，通过网络传输或者保存到磁盘，然后再将字节流恢复为内存对象的过程。在 Web 安全领域，出现过很多反序列化漏洞，比如 PHP 反序列化、Java 反序列化...

02月20日98 views评论

阅读全文

安全文章

红蓝对抗外网打点技巧总结

目录Shiro反序列化Weblogic 反序列化漏洞Exchange RCEMongoDB 未授权访问Jboss RCEStruct2Fastjson反序列化Shiro反序列化（1）常规情况下通过登录...

02月18日111 views评论

阅读全文