序列化 - 第 16 | CN-SEC 中文网

安全博客

Python Pickle命令执行漏洞原理

简介Python的序列化/反序列化模块有两个，一个是Pickle、一个是cPickle，pickle 实现了对一个 Python 对象结构的二进制序列化和反序列化。 “Pickling” 是将 Pyt...

04月04日36 views评论

阅读全文

Please don't stop rua 233333

原题网址 <?phpclass Time{ public $flag = xxxxx; public $truepassword = xxxxx; public $time; public $p...

04月03日安全博客11 views评论

阅读全文

安全漏洞

CVE-2024-2054php反序列化

感谢师傅 · 关注我们由于，微信公众号推送机制改变，现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗！啾咪~~~作者:皮卡丘首先我们要了解序列化PHP序列化是将PHP变量转换为可存储的...

03月26日63 views评论

阅读全文

代码审计

Python反序列化漏洞(入门)

python反序列化漏洞前置知识漏洞原理代码中进行了反序列化操作，反序列化魔术方法可以被触发，且反序列化的参数可控函数使用：pickle.dump(obj, file) : 将对象序列化后保存到文件p...

03月24日24 views评论

阅读全文

代码审计

java反序列化漏洞(入门)

java序列化和反序列化的概念：序列化：把Java对象转换为字节流的过程。反序列化：把字节流恢复为Java对象的过程。对象的序列化主要有两种用途：把对象的字节序列永久地保存到硬盘上，通常存放在一个文件...

03月23日35 views评论

阅读全文

安全闲碎

Java 脏数据填充探索

前言有师傅提出了 Yso JavaHack 的生成序列化payload需要填充脏数据的需求，由于yak引擎没有java环境，所以不能直接对gadget封装，只能对数据化流操作，记录下分析过程。什么是脏...

03月22日18 views评论

阅读全文

代码审计

PHP反序列化漏洞(入门1)

漏洞产生原理没有对用户输入的序列化字符串做检测，导致攻击者可以控制反序列化过程。序列化（serialize()）//将一个对象转换成一个字符串反序列化（unserialize()）//将字符串还原成一...

03月22日32 views评论

阅读全文

代码审计

【安全科普】Python之pickle反序列漏洞

网安教育培养网络安全人才技术交流、学习咨询0x00 Python对象序列化库 pickle简介与其他语言相同，python也有序列化/反序列化的方式python序列化主要有pickle、marshal...

03月07日60 views评论

阅读全文

代码审计

SolarWinds Security Event Manager AMF 反序列化 RCE (CVE-2024-0692)

前言前几天刷推看到 ZDI 发了 SolarWinds Security Event Manager AMF 反序列化 RCE 的通告, 于是准备简单分析一下 https://www.zeroday...

03月06日69 views评论

阅读全文

供应链安全

AI供应链安全：Hugging Face 恶意ML模型事件分析

01 Hugging Face供应链攻击事件分析事件背景近期由JFrog安全团队监控发现，Hugging Face平台上的某些机器学习模型可能被用于对用户环境进行攻击。这些恶意的模型在加载时会导致代码...

03月05日160 views评论

阅读全文

安全新闻

Hugging Face 任意大模型仓库劫持 - 无声的破坏

摘要在这篇博客中，我们展示了攻击者如何攻击Hugging Face的Safetensors转换空间及其相关的服务机器人。这些服务是一个在Hugging Face上广受欢迎的服务，专门用于将不安全的机器...

03月02日52 views评论

阅读全文

安全文章

PHP phar反序列化原理详解

phar的本质是一种压缩文件，会以序列化的形式存储用户自定义的meta-data。Phar文件结构stub：phar文件标识，以 __HALT_COMPILER();?>结尾manifest：压...

02月21日25 views评论

阅读全文

在线咨询

微信