序列化 - 第 16 | CN-SEC 中文网

安全新闻

Hugging Face 任意大模型仓库劫持 - 无声的破坏

摘要在这篇博客中，我们展示了攻击者如何攻击Hugging Face的Safetensors转换空间及其相关的服务机器人。这些服务是一个在Hugging Face上广受欢迎的服务，专门用于将不安全的机器...

03月02日52 views评论

阅读全文

安全文章

PHP phar反序列化原理详解

phar的本质是一种压缩文件，会以序列化的形式存储用户自定义的meta-data。Phar文件结构stub：phar文件标识，以 __HALT_COMPILER();?>结尾manifest：压...

02月21日23 views评论

阅读全文

安全工具

ModelScan：一款大模型序列化安全扫描工具

ModelScan是由AI初创公司ProtectAI提供的一个开源项目，旨在扫描机器学习模型以确定它们是否包含不安全的代码。它是首个支持多种模型格式的扫描工具，目前支持H5、Pickle和SavedM...

02月19日76 views评论

阅读全文

代码审计

利用特殊反序列化组件攻击原生反序列化入口

免费&进群前言所谓特殊反序列化，就是指自实现了序列化/反序列化逻辑的组件，本文主要讨论以下三种FastJsonJackson（SpringBoot原生环境自带）ROME（其实并不是特殊反序列化...

02月18日18 views评论

阅读全文

代码审计

Shiro反序列化相关

原理获取Cookie中rememberMe的值 · 对rememberMe进行Base64解码 · 使用AES进行解密 · 对解密的值进行反序列化这样的话攻击者就可以通...

02月18日26 views评论

阅读全文

安全漏洞

Apache ActiveMQ < 5.18.3 远程代码执行漏洞分析

简介Apache ActiveMQ 是美国阿帕奇（Apache）基金会的一套开源的消息中间件，它支持Java消息服务、集群、Spring Framework等。10月 24 日，ActiveMQ发布5...

02月17日41 views评论

阅读全文

安全文章

Apache ActiveMQ RCE 分析

中午吃饭的时候看到赛博昆仑发了 Apache ActiveMQ 的漏洞通告, 于是去翻了翻 github commit第⼀眼看感觉跟之前那个 spring-amqp 的漏洞差不多就偷个懒没复现, 后来...

02月17日28 views评论

阅读全文

反序列化杂记

概念简而言之，序列化是把对象转化成字节码，反序列化则是将字节码恢复为对象。序列化需要使用到ObjcetOutputStream类的writeObeject函数，可以ObjectOutputStream...

02月16日代码审计25 views评论

阅读全文

代码审计

shiro反序列化漏洞原理分析以及漏洞复现

扫码领资料获网安教程免费&进群Shiro-550反序列化漏洞（CVE-2016-4437）漏洞简介shiro-550主要是由shiro的rememberMe内容反序列化导致的命令执行漏洞，造成...

02月15日36 views评论

阅读全文

安全漏洞

Apache ActiveMQ RCE漏洞分析 (CNVD-2023-69477)

漏洞概述Apache ActiveMQ 中存在远程代码执行漏洞，具有 Apache ActiveMQ 服务器TCP端口（默认为61616）访问权限的远程攻击者可以通过发送恶意数据到服务器从而执行任意代...

02月15日28 views评论

阅读全文

安全文章

PHP&JAVA反序列化

点击蓝字关注我们PHP反序列化原理：序列化就是将对象转为字符串。反序列化与之相反，数据的格式的转换对象的序列化利于对象的保存和传输，也可以让多个文件共享对象技术：有类（触发魔术方法）；...

02月09日17 views评论

阅读全文

代码审计

Fastjson反序列化漏洞原理与漏洞复现

漏洞原理1.啥是json?json全称是JavaScript object notation。即JavaScript对象标记法，使用键值对进行信息的存储。举个简单的例子如下：{ "name":"Bos...

02月05日27 views评论

阅读全文

Hugging Face 任意大模型仓库劫持 - 无声的破坏

PHP phar反序列化原理详解

ModelScan：一款大模型序列化安全扫描工具

利用特殊反序列化组件攻击原生反序列化入口

Shiro反序列化相关

Apache ActiveMQ < 5.18.3 远程代码执行漏洞分析

Apache ActiveMQ RCE 分析

反序列化杂记

shiro反序列化漏洞原理分析以及漏洞复现

Apache ActiveMQ RCE漏洞分析 (CNVD-2023-69477)

PHP&JAVA反序列化

Fastjson反序列化漏洞原理与漏洞复现

在线咨询

微信