反序列化 | CN-SEC 中文网

安全新闻

警惕！朝鲜背景黑客 Slow Pisces 借编程挑战，利用 YAML 反序列化等隐蔽技术精准打击加密开发者

近期安全报告揭示，与此前 Bybit 交易所被黑事件有关联的朝鲜背景 APT 组织 Slow Pisces (别名 Jade Sleet 等)，正针对加密货币开发者部署一场精心策划的攻击活动。攻击者伪...

04月18日15 views评论

阅读全文

安全新闻

关于 Apache Tomcat 远程代码执行漏洞（CVE-2025-24813）的安全预警

近期，国家信息安全漏洞库（CNNVD）收到关于 Apache Tomcat 安全漏洞CVE-2025-24813情况的报送。此漏洞可使未授权的攻击者远程执行恶意代码，危害极大。为保障各单位网络安全，现...

04月16日20 views评论

阅读全文

安全文章

YII 2 反序列化挖掘与分析

环境部署选择 basic 包，定位到 config/web.php 中将 cookieValidationKey 的值改为 demo，然后访问/web/index.php。在文件 controller...

04月10日7 views评论

阅读全文

安全文章

SSRF 如何在 .NET 应用程序中导致 RCE

在 Web 应用程序安全领域，服务器端请求伪造 (SSRF) 漏洞有时会打开潘多拉魔盒，在适当条件下导致远程代码执行 (RCE)。这是我如何探索 SSRF 漏洞并将其升级为 .NET Web 应用程序...

04月10日6 views评论

阅读全文

代码审计

Java XMLDecode反序列化POC变形

△△△点击上方“蓝字”关注我们了解更多精彩0x00 前言免责声明：继续阅读文章视为您已同意[NOVASEC免责声明].记录一些简单的Java XMLDecode反序列化POC变形10x01 Proce...

04月10日13 views评论

阅读全文

安全文章

Apache Shiro 框架漏洞利用全流程

🥷 红队实战案例：Apache Shiro 框架漏洞利用全流程🧩 一、识别目标使用了 Shiro 框架🔍 目标访问行为识别访问目标站点（如 http://target.com/login），响应头中出...

04月10日1 views评论

阅读全文

安全文章

JDBC注入无外网（上）：从HertzBeat聊聊SnakeYAML反序列化

上周日联合@Ar3h 师傅一起，在【代码审计知识星球】里发布了一个Springboot的小挑战：https://t.zsxq.com/tSBBZ，这个小挑战的核心目标是在无法连接外网的情况下，如何利用...

04月10日7 views评论

阅读全文

安全文章

Web篇 | Fastjson反序列化漏洞深度剖析：成因、挖掘思路与防范攻略（上）

免责声明！本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法。大纲Fastjson介绍相关概念及Fastjson反序列化...

04月10日14 views评论

阅读全文

运送违规物资：php反序列化

【当然实际上，现在更加常见的是java的序列化漏洞，包括各种模板的漏洞居多】序列化与反序列化的作用序列化：将一个对象的状态转换为可以存储或传输的字符串形式。反序列化：将序列化后的字符串还原为原始对象...

04月09日安全文章8 views评论

阅读全文

安全百科

反序列化漏洞原理剖析：从攻击到防御

点击上方蓝字关注我们在安全测试中，反序列化漏洞（Deserialization Vulnerability）因其高危害性和隐蔽性，成为近年来攻击者利用的最为频繁的漏洞类型之一，log4j2、fastj...

04月09日10 views评论

阅读全文

安全文章

这个RCE真白捡了

Part-01背景日常开展src测试，通过信息收集，发现某高校系统存在rce漏洞，在登录测试时，发现hae插件爆红！进一步利用实现rce。广告一波hae插件，好物推荐，日常发现敏感信息...

04月08日14 views评论

阅读全文

安全漏洞

Apache Parquet Java库曝高危漏洞，可导致远程代码执行

漏洞核心信息 CVE编号：CVE-2025-30065（CVSS 10.0满分漏洞）影响组件：Apache Parquet Java库的`parquet-avro`模块漏洞类型：不可信数据反...

04月07日25 views评论

阅读全文

警惕！朝鲜背景黑客 Slow Pisces 借编程挑战，利用 YAML 反序列化等隐蔽技术精准打击加密开发者

关于 Apache Tomcat 远程代码执行漏洞（CVE-2025-24813）的安全预警

YII 2 反序列化挖掘与分析

SSRF 如何在 .NET 应用程序中导致 RCE

Java XMLDecode反序列化POC变形

Apache Shiro 框架漏洞利用全流程

JDBC注入无外网（上）：从HertzBeat聊聊SnakeYAML反序列化

Web篇 | Fastjson反序列化漏洞深度剖析：成因、挖掘思路与防范攻略（上）

运送违规物资：php反序列化

反序列化漏洞原理剖析：从攻击到防御

这个RCE真白捡了

Apache Parquet Java库曝高危漏洞，可导致远程代码执行

在线咨询

微信