序列化 - 第 58 | CN-SEC 中文网

安全漏洞

Apache Solr反序列化远程代码执行漏洞分析（CVE-2019-0192）

0x01 漏洞描述 Solr 是Apache软件基金会开源的搜索引擎框架，其中定义的ConfigAPI允许设置任意的jmx.serviceUrl，它将创建一个新的JMXConnectorServe...

07月17日1,112 views评论

阅读全文

安全闲碎

使用自定义ClassLoader解决反序列化serialVesionUID不一致问题

0x01 背景 serialVesionUid不一致导致反序列化失败也算是Java反序列化漏洞利用比较常见的问题了。查了下资料，发现了各种各样的方法，但没有找到一种适合所有gadget的通用解决方案，...

07月14日704 views评论

阅读全文

安全漏洞

Fastjson漏洞复现

前言前不久传的沸沸扬扬的FastJson反序列化漏洞，相信有不少企业都中招了，当然我司也未能幸免，基于次漏洞更具官方给的补漏措施，已完全可以避免在这不再阐述。本文就拿它从一个简单的FastJ...

07月14日478 views评论

阅读全文

安全文章

WebLogic wls9-async 反序列化漏洞(详细干货)

WebLogic wls9-async 反序列化漏洞，这是我的复现过程，仅供参考影响范围 Oracle WebLogic Server10.3.6.0.0 ...

07月13日67 views评论

阅读全文

安全文章

JAVA 8u20 反序列化漏洞分析

作者：天融信阿尔法实验室原文链接：https://mp.weixin.qq.com/s/TAjfHEJCvP-1yK2hUZlrbQ 一、前言在JDK7u21中反序列化漏洞修补方式是在Annotat...

06月30日362 views评论

阅读全文

[原]Fastjson漏洞修复参考

Fastjson漏洞修复参考 1. 漏洞背景 Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串...

06月30日安全文章458 views评论

阅读全文

Apache Dubbo漏洞补丁绕过

2020年6月29日，阿里云应急响应中心监测到 CVE-2020-1948 Apache Dubbo反序列化漏洞补丁存在缺陷，可以绕过原有补丁并执行任意指令。时间线 · 2020.06.23 监...

06月30日安全文章352 views评论

阅读全文

代码审计

FastJson入门介绍&&1.2.24利用链分析

FastJson介绍&入门 FastJson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到Ja...

06月08日398 views评论

阅读全文

安全文章

JAVA反序列化 - FastJson组件

No.1 声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章...

01月06日473 views评论

阅读全文

漏洞时代

Java反序列化时对象注入可以造成代码执行漏洞

这几天在zone看到了有人提及了有关于common-collections包的RCE漏洞，并且http://zone.wooyun.org/content/23849给出了具体的原...

01月01日526 views评论

阅读全文

漏洞时代

Apache Shiro Java 反序列化漏洞分析

Author: rungobier (知道创宇404安全实验室)Apache Shiro 在 Java 的权限及安全验证框架中占用重要的一席之地，在它编号为550的 issue 中...

01月01日578 views评论

阅读全文

颓废's Blog

Weblogic反序列化远程代码执行漏洞exp(CVE-2019-2725)

利用点是weblogic的xmldecoder反序列化漏洞，只是构造巧妙的利用链对Oracle官方历年来对这个漏洞点的补丁绕过

11月21日2,029 views评论

阅读全文

Apache Solr反序列化远程代码执行漏洞分析（CVE-2019-0192）

使用自定义ClassLoader解决反序列化serialVesionUID不一致问题

Fastjson漏洞复现

WebLogic wls9-async 反序列化漏洞(详细干货)

JAVA 8u20 反序列化漏洞分析

[原]Fastjson漏洞修复参考

Apache Dubbo漏洞补丁绕过

FastJson入门介绍&&1.2.24利用链分析

JAVA反序列化 - FastJson组件

Java反序列化时对象注入可以造成代码执行漏洞

Apache Shiro Java 反序列化漏洞分析

Weblogic反序列化远程代码执行漏洞exp(CVE-2019-2725)

在线咨询

微信