反序列化 - 第 15 | CN-SEC 中文网

安全文章

利用不安全的反序列化漏洞

点击蓝字关注我们始于理论，源于实践，终于实战老付话安全，每天一点点激情永无限，进步看得见严正声明本号所写文章方法和工具只用于学习和交流，严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验...

12月08日12 views评论

阅读全文

安全新闻

网安原创文章推荐【2024/12/6】

2024-12-06 微信公众号精选安全技术文章总览洞见网安 2024-12-060x1 HTB-Vintage笔记Jiyou too beautiful 2024-12-06 23:17:24 渗透...

12月07日28 views评论

阅读全文

代码审计

反序列化漏洞和fastjson实际漏洞分析

简介FastJson是alibaba的一款开源JSON解析库，可用于将Java对象转换为其JSON表示形式，也可以用于将JSON字符串转换为等效的Java对象分别通过toJSONString和pars...

12月06日17 views评论

阅读全文

代码审计

从FastJson库的不同版本源码中对比学习绕过方法

1.2.25<=fastjson<=1.2.41反序列化漏洞。从这个版本的fastjson中，对前面的漏洞进行了修复，引入了checkAutoType安全机制，默认autoTypeSupp...

12月06日5 views评论

阅读全文

CTF专场

从零开始学习反序列化：[NISACTF 2022] baby serialize 详解

这道题在NSSCTF平台上有原题打开题目，先找eval、flag这样的危险函数和关键字样，这里我们找到了eval，变量名是txw4ever。分析过程如下：因此我们的pop链为class NISA -&...

12月06日16 views评论

阅读全文

安全文章

大模型的反序列化导致的RCE漏洞

大模型的反序列化导致的RCE漏洞话说最近字节实习生通过编写、篡改代码等形式恶意攻击团队研究项目模型训练任务的事闹的沸沸扬扬，那气氛都到这了，我们来聊聊大模型的rce漏洞吧引言这可以从今年的CVE-20...

12月05日8 views评论

阅读全文

代码审计

一文学会fastjson漏洞

目录漏洞简介fastjson是一个高性能的json解析器和生成器，广泛用于Java项目中。fastjson允许开发者自定义反序列化行为，以便可以根据json中的不同字段自动创建不同类型的对象。在Jav...

12月04日6 views评论

阅读全文

安全文章

CVE-2017-7504 JBOSS反序列化漏洞复现

一、漏洞描述 JBoss AS 4.x及之前版本中，JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列...

12月04日9 views评论

阅读全文

代码审计

JAVA安全-反序列化系列-CC6(无依赖链)分析

免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号菜狗安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，会立即删除...

12月02日4 views评论

阅读全文

代码审计

Java 安全 | 反序列化 URLDNS+CC+自己挖一条链+CB

首先特别感谢 FreeBuf 这个平台, 本来这篇文章是误删了的, 在《编辑》文章部分一键找回了，23333。前言如同标题一样, 本篇文章会介绍反序列化漏洞的基本原理，以及分析三种反序列化链路：URL...

11月28日30 views评论

阅读全文

代码审计

21.从Altserialization到SessionState反序列化再到SQL Server数据库隔山打牛

1.关于Altserialization（第一部分只是作为知识点的铺垫，真正有趣且笔者认为实战中能用得上的部分放在第二小节往后，不过第一部分其实也是挺ez的）下面就正式进入ysoserial.net的...

11月26日13 views评论

阅读全文

代码审计

Ruby 3.4 通用 RCE 反序列化小工具链

我在 2018 年的一篇博客文章中分享了第一个利用 Ruby 反序列化的通用小工具链。从那时起，Ruby 已经有许多新版本，有时包括破坏已发布小工具链的代码更改。到目前为止，这些破坏只是暂时的，信息安...

11月26日24 views评论

阅读全文

在线咨询

微信