开始着手对Weblogic历史漏洞进行剖析,周末分析了Weblogic历史上的严重漏洞,一次针对CVE-2015-4852漏洞的补丁绕过。原理虽然简单,但是时间太过久远,一些关键点被历史的...
01月18日11 viewscve
weblogic
序列化评论
【技术分享】忆——Weblogic CVE-2016-0638反序列化漏洞
01月18日11 viewscve
weblogic
序列化评论
01月18日11 viewscve
weblogic
序列化评论
Java代码审计:反序列化
1 反序列化漏洞 反序列漏洞,当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期的对象,在此过程中执行构造的任意代码...
01月16日11 views序列化
攻击者
漏洞评论
关于我学渗透的那档子事之Java反序列化-CB链
前言java反序列化cb链大家应该都玩过,我当初是通过看shiro无依赖了解到的,最近在重学基础,就手把手一点一点调试一遍。记得11月份自我反思之后,认为自己渗透的学习深度广度都太差,对漏洞的学习只是...
01月14日18 viewsjava
序列化
我学评论
实战经验丨PHP反序列化漏洞总结
又到了金三银四跳槽季,很多小伙伴都开始为面试做准备,今天小编就给大家分享一个网安常见的面试问题:PHP反序列化漏洞。虽然PHP反序列化漏洞利用的条件比较苛刻,但是一旦被利用就会产生很严重的后果,所以很...
01月13日16 viewsphp
序列化
漏洞评论
Java代码审计系列第一课 反射机制
简述这次结尾有彩蛋哦,请记得查看!自08年Web2.0时代开始之后,国内Web开发的主要语言从PHP逐渐转移到了Java,截止到今天,以Java为主要开发语言的公司越来越多,是现在大中型公司开发的主流...
01月10日14 viewsjava
string
序列化评论
Java反序列化漏洞学习 Commons Collection
0x00 背景 笔者是一个刚入门Java安全的萌新,一个月前跟着P神的Java安全漫谈开始学习Java反序列化漏洞。笔者学习的方法是看完文章然后拷贝代码下来idea跟着调一遍,每次调完后会感觉自己已经...
01月10日18 viewsjava
序列化
萌新评论
WebGoat JAVA反序列化漏洞分析复现
扫一扫关注公众号,长期致力于安全研究0x01 前言靶场部署的话在Linux中。附地址了https://github.com/WebGoat/WebGoatysoserial准备一个即可。用来生成pay...
01月09日12 viewsjar
webgoat
序列化评论
CWE-1070 可序列化数据元素中包含不可序列化项的元素
CWE-1070 可序列化数据元素中包含不可序列化项的元素 Serializable Data Element Containing non-Serializable Item Elements 结构...
01月07日CWE(弱点枚举)14 viewsdata
serializable
序列化评论
CWE-1066 缺少序列化控件元素
CWE-1066 缺少序列化控件元素 Missing Serialization Control Element 结构: Simple Abstraction: Base 状态: Incomplete...
01月07日CWE(弱点枚举)15 viewscwe
序列化
控件评论
JBOSS反序列化漏洞
10月13日简简单单的复现一个漏洞0x00 起因 因为当初说要把vulhub上面的漏洞都复现一遍,然后今天看内网的书又头疼,python也学不下去,打开vulhub,然后随便一滚鼠标滑轮,刚...
01月06日15 viewsjava
url
序列化评论
JAVA反序列化漏洞入门
前言学习本系列文章需要的Java基础: 了解Java基础语法及结构(菜鸟教程) 了解Java面向对象编程思想(快速理解请上知乎读故事,深入钻研建议买本《疯狂Java讲义》另外有一个刘意老师的教学视频也...
01月06日11 viewsjava
序列化
漏洞评论
Jackson漏洞
Jackson是一款当下流行的json解释器,主要负责处理Json的序列化和反序列化。 基础概念jackson核心模块由三部分构成: jackson-core - 核心包,提供基于流模式API jac...
01月06日安全博客16 viewsapi
jackson
序列化评论