报告类别 互联网黑产分析 相关组织 银狐、谷堕、游蛇、雪狼 攻击目标 境内金融、教育、电商、货运、设计等 攻击时间 2023年3月至今 攻击方式 钓鱼、水坑等下发带有木马的安装包 攻击复...
07月09日232 views评论序列化
木马
“银狐”家族木马升级攻击活动分析
07月09日232 views评论序列化
木马
07月09日232 views评论序列化
木马
AWD神器—watchbird后台rce挖掘
扫码领资料获网安教程文章来源: https://xz.aliyun.com/t/14978简介在传统的AWD攻防中,Waf扮演着重要的角色,Watchbird作为一款专门为AWD而生的PHP防火墙,具...
07月08日52 views评论awd
序列化
从Scala Chain看新切入面
效果图可以通过该链调用java.lang.System#setProperty方法修改相关属性,例如复活Fastjson、绕过高版本CC链限制。原理分析SerializedLambdaLambda表达...
07月08日32 views评论反序列化
序列化
Splunk 修复企业产品中的多个高危漏洞
本周一,Splunk 宣布修复 Splunk Enterprise 和 Cloud Platform 上的16个漏洞,其中包括6个高危漏洞。 其中3个是高危的远程代码执行漏洞,需要认证才能成功利用。第...
07月03日安全新闻16 views评论序列化
高危漏洞
调试案例研究:ViewState 反序列化利用
描述TLDR:感谢@0xdf_提供此内存转储。本文基于从https://0xdf.gitlab.io/2024/06/08/htb-pov.html搜寻工件,但纯粹是从内存转储的角度。本文中使用了以下...
06月29日47 views评论反序列化
序列化
通过发送 JSON 来执行命令?了解 Ruby 项目中不安全的反序列化漏洞如何运作
攻击者是否可以通过发送 JSON 在远程服务器上执行任意命令?是的,如果正在运行的代码包含不安全的反序列化漏洞。但这怎么可能呢?在这篇博文中,我们将描述不安全的反序列化漏洞的工作原理以及如何在 Rub...
06月28日45 views评论反序列化
序列化
网安简报【2024/6/20】
2024-06-20 微信公众号精选安全技术文章总览洞见网安 2024-06-200x1 揭秘PHP反序列化漏洞-入门:黑客是如何入侵你的网站的?小羽网安 2024-06-20 22:04:49本文介...
06月21日35 views评论反序列化
序列化
揭秘PHP反序列化漏洞-入门:黑客是如何入侵你的网站的?
揭秘PHP反序列化漏洞--入门:黑客是如何入侵你的网站的?什么是反序列化?-格式转换(无非就是将数组或者字符串格式转换成对象)序列化serialize()class S{ &nbs...
06月20日33 views评论反序列化
序列化
针对机器学习模型的新技术:Sleepy Pickle
01—新闻 随着一种名为Sleepy Pickle的新“混合机器学习(ML)模型利用技术”的发现,Pickle格式带来的安全风险再次凸显出来。 根据Trail of Bits,这...
06月17日安全新闻14 views评论序列化
网络安全
CVE-2024-4358,将反序列化变为未经身份验证的RCE
背景说明 Progress Software的Telerik Report Server是一款功能强大的报表服务器解决方案,具备全面的报告管理功能,可帮助组织创建、部署、交付和管理报告。 Progre...
06月11日75 views评论rce
身份验证
JAVA安全-反序列化系列(基础篇)含URLDNS链分析
点击上方蓝字·关注我们免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号菜狗安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵...
06月11日16 views评论反序列化
序列化
代码审计-Java项目-反序列化漏洞
java序列化和反序列化的概念:序列化:把Java对象转换为字节流的过程。反序列化:把字节流恢复为Java对象的过程。序列化函数接口:Java:Serializable Externalizable接...
06月08日36 views评论payload
反序列化
63