反序列化 - 第 23 | CN-SEC 中文网

代码审计

Java反序列化之CC6分析

0x00 前言JDK8U71官方修复了AnnotationInvocationHandler中的readObject方法中一些处理，导致一些高版本JDK无法使用CC1。8U71之后不再对传入Map进行...

10月24日16 views评论

阅读全文

代码审计

9.DataContractJsonSerializer反序列化点

1.DataContractJsonSerializer的基本使用又是DataContract字辈的，在基本使用上和以前介绍过的几个DataContract序列化与反序列化是基本一致的，但这玩意是用于...

10月24日17 views评论

阅读全文

安全文章

RASP漏洞防御之 shiro 反序列化

“ RASP漏洞防御之 shiro 反序列化” ApacheShiro框架提供了记住我的功能（RememberMe），用户登陆成功后会生成经过加密并编码的cookie，在服务端接收cookie值后，B...

10月23日16 views评论

阅读全文

安全工具

ysoserial反序列化图形利用工具

工具简介 ysoserial 图形化，探测 gadget，TomcatEcho，命令执行，冰蝎，哥斯拉内存马注入，加载字节码等。如果对您有帮助，感觉不错的话，请您给个大大的 ⭐️❗️版本更新 V1.1...

10月23日29 views评论

阅读全文

安全文章

浅谈 JEP290

0x01 前言属于是拖了很久的文章了，4.18 筹划着开始写，6.22 左右才真正开始提笔。一开始提到这个概念可能会比较懵逼，其实这就是为什么高版本 jdk 有部分能打 jndi，打不了 RMI8u1...

10月21日11 views评论

阅读全文

代码审计

8.NetDataContractSerializer反序列化点以及PSObject链

1.NetDataContractSerializer使用基本上来说和之前学习的DataContractSerializer区别不大，一个比较重要的区别就是NetDataContractSeriali...

10月21日21 views评论

阅读全文

安全漏洞

金蝶云星空反序列化远程代码执行漏洞复现

漏洞原理由于金蝶云星空管理中心在处理序列化数据时，未对数据进行签名或校验，攻击手可以写入包含恶意代码的序列化数据，系统在进行反序列化时造成远程命令执行，该“管理中心“是提供给管理员使用的管理端，默认...

10月19日35 views评论

阅读全文

安全开发

JAVA安全学习

JavaSecurityLearning项目的初衷是为了让更多师傅在学习 Java 安全的时候能够有一条比较清晰的学习路线，也希望师傅们通过这个项目学习 Java 安全时有能够所收获。项目文件夹中包含...

10月18日36 views评论

阅读全文

代码审计

7.DataContractSerializer反序列化点以及相关链

1.DataContractSerializer的使用一个功能和用法都很像XmlSerializer的方法。先用软子的官方文档的代码来学习一下。我们先写一个类注意这个类上面要加上[DataContra...

10月18日19 views评论

阅读全文

安全漏洞

CVE-2023-26512：Apache EventMesh RabbitMQ-Connector 插件反序列化 RCE

严重性：严重受影响的版本：- Apache EventMesh（孵化中）1.7.0 至 1.8.0描述：CWE-502 Apache EventMesh 中的rabbitmq-connector 插件...

10月18日78 views评论

阅读全文

代码审计

九维团队-绿队（改进）| JAVA反序列化用法科普

一介绍java反序列化是将对象从字节流转换回对象的过程。在Java中，可以使用对象输出流来将Java对象序列化为字节流，并使用对象输入流将字节流反序列化为Java对象。反序列化的过程是在Java虚拟机...

10月18日8 views评论

阅读全文

代码审计

Java安全之URLDNS链分析

Java安全之URLDNS链分析前言今天来复习一下URLDNS这条链，水一篇文章吧。也弥补了Java安全系列的入门必学的一个利用链的文章的空白。URLDNS链本身不能执行命令，多用于构造 DNS 操作...

10月18日17 views评论

阅读全文

Java反序列化之CC6分析

9.DataContractJsonSerializer反序列化点

RASP漏洞防御之 shiro 反序列化

ysoserial反序列化图形利用工具

浅谈 JEP290

8.NetDataContractSerializer反序列化点以及PSObject链

金蝶云星空反序列化远程代码执行漏洞复现

JAVA安全学习

7.DataContractSerializer反序列化点以及相关链

CVE-2023-26512：Apache EventMesh RabbitMQ-Connector 插件反序列化 RCE

九维团队-绿队（改进）| JAVA反序列化用法科普

Java安全之URLDNS链分析

在线咨询

微信