反序列化 - 第 16 | CN-SEC 中文网

安全文章

【yso】 - URLDNS反序列化分析

前言gadget分析触发过程 POC测试代码 HashMap HashMap的原理设置新键值对读取key的value 反序列化过...

12月17日2 views评论

阅读全文

安全工具

Exp-Tools:一款集成高危漏洞EXP的实用工具

0x01 简介该工具使用了ExpDemo-JavaFX项目，保留了核心的数据包请求接口，使用jdk1.8环境开发。目前编写了oa、设备、框架、产品等多个系列，对相关漏洞进行复现和分析，极力避...

12月16日59 views评论

阅读全文

安全文章

不安全的反序列化object injection漏洞

点击蓝字关注我们始于理论，源于实践，终于实战老付话安全，每天一点点激情永无限，进步看得见严正声明本号所写文章方法和工具只用于学习和交流，严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验...

12月10日30 views评论

阅读全文

CTF专场

PHP反序列化ctf题解

unseping（序列化）题目：<?php highlight_file(__FILE__);class ease{ private $method; private $args; functi...

12月10日10 views评论

阅读全文

安全百科

什么是序列化与反序列化

12月09日14 views评论

阅读全文

代码审计

24.学习ysoserial.net的plugins第三弹

（.NET反序列化今年没有多少篇啦，除开这篇后续的都挺有活的）1.SessionSecurityTokenHandler还是先来看一下这个的安全问题，在其ReadToken()方法中可以看到一个非常明...

12月09日16 views评论

阅读全文

安全文章

利用不安全的反序列化漏洞

12月08日12 views评论

阅读全文

安全新闻

网安原创文章推荐【2024/12/6】

2024-12-06 微信公众号精选安全技术文章总览洞见网安 2024-12-060x1 HTB-Vintage笔记Jiyou too beautiful 2024-12-06 23:17:24 渗透...

12月07日30 views评论

阅读全文

代码审计

反序列化漏洞和fastjson实际漏洞分析

简介FastJson是alibaba的一款开源JSON解析库，可用于将Java对象转换为其JSON表示形式，也可以用于将JSON字符串转换为等效的Java对象分别通过toJSONString和pars...

12月06日17 views评论

阅读全文

代码审计

从FastJson库的不同版本源码中对比学习绕过方法

1.2.25<=fastjson<=1.2.41反序列化漏洞。从这个版本的fastjson中，对前面的漏洞进行了修复，引入了checkAutoType安全机制，默认autoTypeSupp...

12月06日5 views评论

阅读全文

CTF专场

从零开始学习反序列化：[NISACTF 2022] baby serialize 详解

这道题在NSSCTF平台上有原题打开题目，先找eval、flag这样的危险函数和关键字样，这里我们找到了eval，变量名是txw4ever。分析过程如下：因此我们的pop链为class NISA -&...

12月06日16 views评论

阅读全文

安全文章

大模型的反序列化导致的RCE漏洞

大模型的反序列化导致的RCE漏洞话说最近字节实习生通过编写、篡改代码等形式恶意攻击团队研究项目模型训练任务的事闹的沸沸扬扬，那气氛都到这了，我们来聊聊大模型的rce漏洞吧引言这可以从今年的CVE-20...

12月05日8 views评论

阅读全文

在线咨询

微信