序列化 - 第 26 | CN-SEC 中文网

安全博客

fastjson：我一路向北，离开有你的季节

前言继续水一篇漏洞文。一、简介 fastjson 是阿里巴巴的开源 JSON 解析库，它可以解析 JSON 格式的字符串，支持将 Java Bean 序列化为 JSON 字符串，也可以从 JSON...

01月01日26 views评论

阅读全文

Java 反序列化取经路

Java 反序列化相关学习笔记、研究内容目录，持续更新ing... （注：其实这种调用链非常复杂的漏洞调试文章，写出来基本没什么用，写的都是谁调用了谁，怎么想办法让这个 if else 走到这个调用点...

01月01日安全博客44 views评论

阅读全文

【高危安全通告】XStream 拒绝服务漏洞预警

↑ 点击上方关注我们近日，安全狗应急响应中心关注到Xstream官方发布安全公告，披露在1.4.20之前的版本中存在一处高风险级别的拒绝服务漏洞(CVE-2022-41966)。目前漏洞细...

12月30日安全漏洞48 views评论

阅读全文

安全文章

PHP反序列化漏洞 - 筑基篇

1. PHP类与对象类是定义一系列属性和操作的模板，而对象，就是把属性进行实例化，完事交给类里面的方法，进行处理。<?phpclass people{ //定义类属性（类似变量）,public ...

12月10日23 views评论

阅读全文

安全文章

不安全的反序列化-攻击示例（五）

在本节中，将用PHP、Ruby和Java反序列化的例子指导如何利用一些常见的情况，从而证明利用不安全的反序列化实际上比许多人认为的要容易很多。如果能使用预先建立的小工具链，在黑盒测试中甚至可以做到这一...

12月02日46 views评论

阅读全文

安全文章

内存马的攻防博弈之旅之gRPC内存马

一. 概述在内存马的攻防博弈之旅中，我们对内存马做过了一定的介绍。做个简单的总结，内存马就是在系统动态创建对外提供服务的恶意后门接口，并且整个过程没有文件落地，全都在内存中执行，...

12月01日29 views评论

阅读全文

代码审计

Java反序列化学习-Shiro反序列化

文章总体的思路1.用一个简单的例子来说明反序列化导致RCE的过程2.对Shiro漏洞的过程进行调试3.通过两个Shiro反序列化的工具分析大致的利用过程Java反序列化简介1.序列化：将对象转化为字节...

11月29日98 views评论

阅读全文

代码审计

Java审计之反序列化挖掘

前置知识首页你要了解什么是反序列化，需要用到哪些函数如下图java反射机制在反序列化中，反射必不可少让java具有动态性修改已有对象的属性动态生成对象动态调用方法操作内部类和私有方法在反序列化中定制需...

11月25日74 views评论

阅读全文

安全文章

不安全的反序列化-攻击示例（二）

11月22日61 views评论

阅读全文

代码审计

不安全的反序列化-攻击示例（一）

11月15日99 views评论

阅读全文

安全博客

反序列化漏洞详解

简介：反序列化漏洞是基于序列化和反序列化的操作，在反序列化——unserialize()时存在用户可控参数，而反序列化会自动调用一些魔术方法，如果魔术方法内存在一些敏感操作例如eval()函数，而且...

11月11日22 views评论

阅读全文

代码审计

Java安全小白的入门心得 - java反序列化

本文为看雪论坛优秀文章看雪论坛作者ID：1manityJava反序列化是java安全的基础，想要学好java反序列化，就不能只看看相关文章，要自己动手实践，看看java反序列化到底是怎么回事。JSON...

11月09日72 views评论

阅读全文

fastjson：我一路向北，离开有你的季节

Java 反序列化取经路

【高危安全通告】XStream 拒绝服务漏洞预警

PHP反序列化漏洞 - 筑基篇

不安全的反序列化-攻击示例（五）

内存马的攻防博弈之旅之gRPC内存马

Java反序列化学习-Shiro反序列化

Java审计之反序列化挖掘

不安全的反序列化-攻击示例（二）

不安全的反序列化-攻击示例（一）

反序列化漏洞详解

Java安全小白的入门心得 - java反序列化

在线咨询

微信