反序列化 - 第 7 | CN-SEC 中文网

会Java代码审计不就把别人卷死了。。。

1. 请解释Java反序列化漏洞的根本原因，并说明为何攻击者可以通过反序列化执行任意代码？答案 Java反序列化的核心问题在于其默认机制允许通过ObjectInputStream的readObjec...

02月23日代码审计35 views评论

阅读全文

代码审计

java 静态方法 load+写文件组合拳利用

前言前几天看到 nacos 漏洞的时候发现本质是 hessian 反序列化，而 hessian 反序列化和其他反序列化个人认为最特殊的一点即是一个类根本不需要序列化接口，这样利用面大大增加，而其原生的...

02月22日10 views评论

阅读全文

安全新闻

Hitachi Vantara Pentaho未经信任的数据反序列化漏洞

漏洞描述:应用程序在没有充分验证结果数据是否有效的情况下反序列化不受信任的数据,Hitасhi Vаntаrа Pеntаhо Buѕinеѕѕ Anаlуtiсѕ Sеrvеr版本在10.2.0.0...

02月21日13 views评论

阅读全文

安全文章

皮蛋厂的学习日记 | 2022.4.10 JAVA反序列化之 7u21

皮蛋厂的学习日记系列为山东警察学院网安社成员日常学习分享，希望能与大家共同学习、共同进步~2020级 sp4c1ous | JAVA反序列化之 7u21前言前置分析动调分析分析 ysoserial 的...

02月20日8 views评论

阅读全文

安全文章

原创 Paper | 基于污点分析的 AI 自动化漏洞挖掘尝试

作者：longofo@知道创宇404实验室时间：2025年2月16日本文为知道创宇404实验室内部分享沙龙“404 Open Day”的议题内容，作为目前团队AI安全研究系列的一部分，分享出来与大家一...

02月20日85 views评论

阅读全文

安全百科

反序列化漏洞

01定义想象一下，你有一个复杂的玩具（对象），为了方便存放，你把它拆成零件（序列化）。当你需要玩的时候，再把零件拼回去（反序列化）。序列化：将对象（如Java对象、PHP数组）转换为字符串或二进制数据...

02月18日22 views评论

阅读全文

安全职场

原来想去网安大厂，反序列化是跑不了的，被技术面麻了

最近一个星球中的小伙伴想我诉苦，说他面试的时候面试官尽然一只在问他反序列化相关的问题，他尽然emo了，今天特意的整理了下网络安全中常见的反序列化相关的面试题，需要的抓紧收藏。网络安面试题库截止目前已...

02月18日33 views评论

阅读全文

安全工具

xxl-jobExploitGUI最新漏洞利用工具

=================================== 免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，...

02月18日37 views评论

阅读全文

代码审计

【代码审计】php反序列化挖掘思路

0x01 前言以前因为项目需要,挖到的时候也懒的发,现在回头一看,好像自己的安全拼图少了一块,所以就补上吧 :)0x02 旅途过程0x02.1 寻找起点就像出去旅游看风景一样,挑选一个合适的城市,会让...

02月18日18 views评论

阅读全文

代码审计

【技术分享】PHP序列化冷知识

一、serialize(unserialize($x))!=$x正常来说一个合法的反序列化字符串，在二次序列化也即反序列化再序列化之后所得到的结果是一致的。比如<?php$raw = 'O:1:...

02月16日21 views评论

阅读全文

应急响应

蓝队第2篇 | Weblogic反序列化攻击不依赖日志溯源攻击时间

Part1 前言 WebLogic是美国Oracle公司出品一款中间件产品，在国内使用也比较广泛。从2015年开始至今，接连爆出过10几个可直接利用的Java反序列化漏洞，相关漏洞的原理也越来越复杂...

02月15日27 views评论

阅读全文

代码审计

入坑Java安全之关于反序列化这件事

声明：本公众号文章来自作者日常学习笔记或授权后的网络转载，切勿利用文章内的相关技术从事任何非法活动，因此产生的一切后果与文章作者和本公众号无关！0x00 前言这篇文章主要就是聊聊Java反序列化，本来...

02月15日12 views评论

阅读全文

会Java代码审计不就把别人卷死了。。。

java 静态方法 load+写文件组合拳利用

Hitachi Vantara Pentaho未经信任的数据反序列化漏洞

皮蛋厂的学习日记 | 2022.4.10 JAVA反序列化之 7u21

原创 Paper | 基于污点分析的 AI 自动化漏洞挖掘尝试

反序列化漏洞

原来想去网安大厂，反序列化是跑不了的，被技术面麻了

xxl-jobExploitGUI最新漏洞利用工具

【代码审计】php反序列化挖掘思路

【技术分享】PHP序列化冷知识

蓝队第2篇 | Weblogic反序列化攻击不依赖日志溯源攻击时间

入坑Java安全之关于反序列化这件事

在线咨询

微信