序列化 - 第 22 | CN-SEC 中文网

洞见简报【2023/7/2】

2023-07-02 微信公众号精选安全技术文章总览洞见网安 2023-07-02 0x1 安全威胁情报周报（6.26~7.2）微步在线研究响应中心 2023-07-02 22:20:01一...

07月03日安全新闻76 views评论

阅读全文

代码审计

九维团队-绿队（改进）| PHP反序列化简介、安全开发及防御建议

一、PHP反序列化简介 php 反序列化基本上是围绕着serialize()、unserialize()这两个函数展开的，还有PHAR协议用于解析 phar 文件、phar 文件的 meta-data...

06月28日50 views评论

阅读全文

安全文章

【POC&EXP】金蝶云星空 Kingdee-erp-Unserialize-RCE

免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测。项目介绍什...

06月28日225 views评论

阅读全文

安全文章

QVD-2023-13615 畅捷通T+ 反序列化漏洞复现(附POC)

免责声明本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号不为此承担任何责任。文章正文 0x01 产品简介畅捷通 T+ 是...

06月25日595 views评论

阅读全文

代码审计

Java 反序列化之 XStream 反序列化

0x01 XStream 基础 XStream 简介 XStream 是一个简单的基于 Java 库，Java 对象序列化到 XML，反之亦然(即：可以轻易的将 Java 对象和 XML 文档相互转换...

06月25日47 views评论

阅读全文

安全文章

金蝶云星空RCE漏洞复现

免责声明本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号不为此承担任何责任。文章正文 0x01 产品简介金蝶云星空是一款...

06月25日604 views评论

阅读全文

安全文章

Shiro 1.2.4反序列化漏洞

漏洞简介Apache Shiro是一款开源安全框架，提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用，同时也能提供健壮的安全性。Apache Shiro框架提供了记住我（Remember...

06月24日44 views评论

阅读全文

HW&HVV

安全面试篇--（红队/HW）

0.前言这些问题是笔者从业安全这几年面试的问题（包含甲方和乙方），此次分享的面试内容是攻击方向，答案是笔者自己的总结，某些答案过于口水话，如果仔细推敲某些答案也是不对的，但是这样方便读者和笔者自己理...

06月22日8 views评论

阅读全文

安全文章

金蝶云星空反序列化远程代码执行漏洞附检测POC

免责声明：本文章或工具仅供安全研究使用，请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，极致攻防实验室及文章作者不为此承担...

06月17日941 views评论

阅读全文

代码审计

Fastjson反序列化漏洞原理与漏洞复现（基于vulhub，保姆级的详细教程）

漏洞原理1.啥是json?json全称是JavaScript object notation。即JavaScript对象标记法，使用键值对进行信息的存储。举个简单的例子如下：{ ...

06月11日136 views评论

阅读全文

安全文章

WebLogic未授权XXE漏洞(CVE-2019-2888)

大家好，今天给大家带来的是weblogic的XXE漏洞复现，虽然这个漏洞爆出已有一段时间了，但我在工作中经常遇到weblogic这个中间件的，这几天复现了一下这个XXE漏洞，特此记录一下。...

05月30日142 views评论

阅读全文

代码审计

Java反序列化漏洞基础知识 | 干货

基础知识 java序列化把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中，ObjectOutputStream类的 writeObject() 方法可以实现序列化。java反序列化...

05月27日41 views评论

阅读全文

在线咨询

微信