序列化 - 第 2 | CN-SEC 中文网

安全文章

CVE-2025-24813｜Tomcat 反序列化深入利用

环境启动成功，具体环境参考昨日文章虽然说这个洞，实战环境99%利用不了，但还有 1% 的概率和 100% 的运气。无回显我们使用 yso 升级版，java web-chains 来生成序列化数据然后生...

03月15日31 views评论

阅读全文

安全文章

PHP反序列号漏洞原理及复现

一、反序列化漏洞原理什么是序列化与反序列化？序列化：把对象的状态信息转换为可以存储或传输的形式的过程，一般是将对象转换为字节流。在进行序列化时，对象的状态信息会被写入到临时或持久性存储区。（通俗点的说...

03月13日18 views评论

阅读全文

安全文章

汤姆猫最新CVE复现及分析

近日，北京天地和兴科技有限公司安全服务部监测到Apache发布安全公告，修复了Apache Tomcat远程代码执行漏洞（CVE-2025-24813），请用户迅速采取措施进行防护！本文章仅用于可能存...

03月12日39 views评论

阅读全文

HW面经1

在项目上，漏洞扫描需要注意那些事项跟客户确认是否充许登录扫描、扫描并发连接数及线程数、是否充许暴力破**解，什么时间段**扫描、通知客户备份一下数据，开启业务系统及网站运维监控，以免断机可及时恢复。谈...

03月10日安全职场13 views评论

阅读全文

安全新闻

网安原创文章推荐【2025/3/3】

2025-03-03 微信公众号精选安全技术文章总览洞见网安 2025-03-03 0x1 DNS渗透测试完全指南：10大技术详解，一文精通DNS安全测试HW安全之路 2025-03-03 19:52...

03月05日25 views评论

阅读全文

JAVA 反序列化学习笔记

1. 概述Java 反序列化是将字节流转换回对象的过程，通常用于网络传输或持久化存储。Java 提供了 ObjectOutputStream 和 ObjectInputStream 类来实现序列化和反...

03月05日代码审计8 views评论

阅读全文

安全文章

shiro反序列化漏洞学习

由于利用工具以及很成熟了，就不进行复现了。本文只探讨漏洞原理。个人见解。低版本shiro550手动判断是否存在shiro组件的方法1，未登录的情况下，请求包的cookie中没有rememberMe字段...

03月05日20 views评论

阅读全文

一文读懂Java反序列化漏洞

Java反序列化漏洞是一种常见的安全漏洞，广泛存在于Java应用程序中。由于Java的序列化和反序列化机制设计上的缺陷，攻击者可以通过构造恶意的序列化数据，在目标系统上执行任意代码，从而导致严重的安全...

03月03日安全文章49 views评论

阅读全文

安全文章

不妨练练反序列化漏洞

01 反序列化是什么 1、了解什么是序列化序列化是将数据结构或对象状态转换为可以存储或传输的格式的过程，通常是转换为字节流、字符序列或其他特定格式，以便在需要时能够在相同或不同的环境中...

03月03日2 views评论

阅读全文

CTF专场

AliyunCTF2025 题解之 Jtools Fury 反序列化利用分析

AliyunCTF 2025 Jtools ：通过 hutool 构建 Web 服务，对提交的请求参数进行 fury.deserialize 反序列化，同时上下文环境中引入了 com.github.i...

03月03日16 views评论

阅读全文

安全文章

Javassist动态构造和分块传输字节码绕过Shiro Cookie长度限制分析

免责声明：由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢...

02月27日19 views评论

阅读全文

【Django REF】Django REF 常用知识点汇总

1. 序列化器（Serializers） 1.1 自定义字段 1.1.1、直接继承serializers.Field并重写关键方法通过继承serializers.Field类，并重写to_repre...

02月26日安全文章15 views评论

阅读全文

在线咨询

微信