序列化 | CN-SEC 中文网

安全文章

原创 | 一文读懂PHP反序列化漏洞

PHP 反序列化漏洞概述在PHP中，序列化是把对象转化为可以存储或传输的字符串的过程，而反序列化则是将这个字符串再转换回对象的过程。PHP反序列化漏洞指的是攻击者能够操控反序列化过程，从而执行任意代码...

04月07日2 views评论

阅读全文

安全文章

【反序列化】Shior漏洞复现

声明！本公众号及团队所做的文章及工具分享仅仅只是供大家学习交流为主，切勿用于非法用途，如有任何触犯法律的行为，均与本人及团队无关！！！漏洞介绍Apache Shiro（之前称为JSecurity）是一...

03月31日10 views评论

阅读全文

安全文章

漏洞复现篇 | CVE-2025-24813 Tomcat

免责声明！本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法。 Tomcat是一个开源的Web服务器和Servlet容器，...

03月27日21 views评论

阅读全文

安全开发

详解PHP反序列化常见安全问题

0x1 序列化与反序列化 0x1.1序列化PHP序列化：serialize()序列化是将变量或对象转换成字符串的过程，用于存储或传递 PHP 的值的过程中，同时不丢失其类型和结构...

03月27日6 views评论

阅读全文

安全文章

详解PHP反序列化字符逃匿安全问题

‍‍在反序列化前，对序列化后的字符串进行替换或者修改，使得字符串的长度发生了变化，通过构造特定的字符串，导致对象注入等恶意操作。PHP反序列化特性1.PHP 在反序列化时，底层代码是以 ; 作为字段的...

03月18日6 views评论

阅读全文

安全百科

Web篇 | 一文掌握Java反序列化漏洞上

大纲序列化和反序列化的含义和用途：这里的Java对象可以理解为我们的数据结构。 (1) 序列化：把对象转化为可传输的字节序列过程称为序列化。 (2) 反序列化：把字节序列还原为对象的过程称为反序...

03月17日14 views评论

阅读全文

安全文章

不赶趟的 tomcat:CVE-2025-24813漏洞验证

不赶趟的CVE-2025-24813漏洞验证作者Yiheng An, Jun Li, Qiang Liu, Haozhe Zhang, Qi Deng参考资料https://www.linkedin....

03月15日23 views评论

阅读全文

安全文章

CVE-2025-24813｜Tomcat 反序列化深入利用

环境启动成功，具体环境参考昨日文章虽然说这个洞，实战环境99%利用不了，但还有 1% 的概率和 100% 的运气。无回显我们使用 yso 升级版，java web-chains 来生成序列化数据然后生...

03月15日30 views评论

阅读全文

安全文章

PHP反序列号漏洞原理及复现

一、反序列化漏洞原理什么是序列化与反序列化？序列化：把对象的状态信息转换为可以存储或传输的形式的过程，一般是将对象转换为字节流。在进行序列化时，对象的状态信息会被写入到临时或持久性存储区。（通俗点的说...

03月13日18 views评论

阅读全文

安全文章

汤姆猫最新CVE复现及分析

近日，北京天地和兴科技有限公司安全服务部监测到Apache发布安全公告，修复了Apache Tomcat远程代码执行漏洞（CVE-2025-24813），请用户迅速采取措施进行防护！本文章仅用于可能存...

03月12日33 views评论

阅读全文

HW面经1

在项目上，漏洞扫描需要注意那些事项跟客户确认是否充许登录扫描、扫描并发连接数及线程数、是否充许暴力破**解，什么时间段**扫描、通知客户备份一下数据，开启业务系统及网站运维监控，以免断机可及时恢复。谈...

03月10日安全职场13 views评论

阅读全文

安全新闻

网安原创文章推荐【2025/3/3】

2025-03-03 微信公众号精选安全技术文章总览洞见网安 2025-03-03 0x1 DNS渗透测试完全指南：10大技术详解，一文精通DNS安全测试HW安全之路 2025-03-03 19:52...

03月05日25 views评论

阅读全文

在线咨询

微信