序列化 - 第 10 | CN-SEC 中文网

代码审计

PHP反序列化漏洞总结

漏洞成因开发者为了以某种存储形式使自定义对象持久化同时实现将对象从一个地方传递到另一个地方通常会在程序中引入序列化和反序列化两种操作。但是如果程序未对用户输入的序列化字符串进行检测，导致攻击者可以控制...

10月16日23 views评论

阅读全文

代码审计

2.BinaryFormatter反序列化点+几个链子

1.关于BinaryFormatter其实非要说的话，BinaryFormatter才是.NET里最经典的序列化与反序列化相关类，从名字就可以看出来，这玩意大概是用来把对象序列化成二进制数据或者把二进...

10月16日11 views评论

阅读全文

安全博客

php-反序列化

PHP 反序列化 # 魔术函数： __construct() 当一个对象创建时被调用，反序列化不触发 __destruct() 当一个对象销毁时被调用 __toString() 当一个对象被当作一个字...

10月15日11 views评论

阅读全文

代码审计

Java反序列化之URLDNS从0到1

声明：本篇文章作者YDJA，本文属i春秋原创奖励计划，未经许可禁止转载。https://bbs.ichunqiu.com/thread-63600-1-1.html前言之前对java反序列化漏洞一直都...

10月14日9 views评论

阅读全文

代码审计

Java反序列化之反射&URLDNS链审计

获黑客教程免费&进群JAVA序列化和反序列化概念：Java序列化是指把Java对象转换为字节序列的过程；Java反序列化是指把字节序列恢复为Java对象的过程。序列化分为两大部分：序列化是这个...

10月13日15 views评论

阅读全文

代码审计

4.LosFormatter反序列化点+一些反序列化链

1.LosFormatter使用以及分析还是先来看看LosFormatter的简单使用吧，这里也用Y4er师傅的demo来学习一下先先写一个可以序列化与反序列化的类，其中有name和age两个属性，一...

10月13日22 views评论

阅读全文

安全新闻

【漏洞通告】Veeam Backup&Replication远程代码执行漏洞安全风险通告

漏洞背景近日，嘉诚安全监测到Veeam Backup&Replication中修复了一个反序列化远程代码执行漏洞，漏洞编号为：CVE-2024-40711。Veeam Backup&R...

10月12日60 views评论

阅读全文

安全文章

1.XmlSerializer反序列化点以及ObjectDataProvider链

1.前言本系列记录一下关于.NET安全中反序列化相关的安全知识吧，网上的很多关于这方面的文章感觉都有些年头了，主要侧重于审计层面，跟随前辈的脚步来研究一下。2.关于XmlSerializer首先我们就...

10月08日28 views评论

阅读全文

安全新闻

物竞天择，进化版银狐全链路攻击三部曲（上篇）

一、背景“银狐”家族自2023年被发现以来，由于其强大的繁殖和进化能力，已成为网络安全界关注的焦点。此黑灰产组织攻击目标是企业和机构内的管理、财务、销售及电商人员，通过精心设计和投递远控木马实施钓鱼攻...

09月29日125 views评论

阅读全文

安全文章

ysoserial中的URLDNS分析

ysoserial的URLDNS是最简单的一条链自写的代码如下：package ysotest;import ysoserial.payloads.util.Reflections;import ja...

09月28日19 views评论

阅读全文

安全漏洞

金蝶云星空远程代码执行漏洞 POC

0x01漏洞介绍金蝶云星空是一款云端企业资源管理（ERP）软件，为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。金蝶云·星空聚焦多组织，多利润中心的大中型企业，以 “开放、标准、社交”...

09月28日31 views评论

阅读全文

代码审计

Java安全之SnakeYaml漏洞分析与利用

1. 简介SnakeYaml是Java中解析yaml的库，而yaml是一种人类可读的数据序列化语言，通常用于编写配置文件等。yaml基本语法：大小写敏感使用缩进表示层级关系缩进只允许使用空格#表示注释...

09月28日17 views评论

阅读全文

PHP反序列化漏洞总结

2.BinaryFormatter反序列化点+几个链子

php-反序列化

Java反序列化之URLDNS从0到1

Java反序列化之反射&URLDNS链审计

4.LosFormatter反序列化点+一些反序列化链

【漏洞通告】Veeam Backup&Replication远程代码执行漏洞安全风险通告

1.XmlSerializer反序列化点以及ObjectDataProvider链

物竞天择，进化版银狐全链路攻击三部曲（上篇）

ysoserial中的URLDNS分析

金蝶云星空远程代码执行漏洞 POC

Java安全之SnakeYaml漏洞分析与利用

在线咨询

微信