序列化 - 第 30 | CN-SEC 中文网

安全文章

Apache Shiro rememberMe（CVE-2016-4437，Shiro-550）反序列化漏洞复现

点击上方“蓝字”，发现更多精彩。0x00 漏洞描述Apache Shiro是一款开源强大且易用的Java安全框架，提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用，同时也能提供健壮的安全...

06月27日235 views评论

阅读全文

代码审计

Java反序列篇-浅谈Shiro利用分析

前言在前面几篇文章中从最容易入手的URLDNS链条，再到CC6，CC1，CC2基本可以说把所有CC链都学完了，其他的CC链的出现也是为了解决黑名单的问题。借用P牛的一段话，我们既然已经有C...

06月23日149 views评论

阅读全文

代码审计

告别脚本小子系列丨JAVA安全(6)——反序列化利用链（上）

0x01 前言我们通常把反序列化漏洞和反序列化利用链分开来看，有反序列化漏洞不一定有反序列化利用链（经常用shiro反序列化工具的人一定遇到过一种场景就是找到了key，但是找不到gadget，这也就是...

06月22日70 views评论

阅读全文

安全文章

原创｜PHP 序列化和反序列化

点击蓝字关注我们php->序列化&反序列化PHP序列化:PHP序列化是将变量或者对象转换成字符串的过程PHP反序列化:PHP反序列化将字符串转换成变量或者对象的过程序列化与json的区别...

06月01日25 views评论

阅读全文

安全文章

Shiro框架漏洞总结

Shiro框架漏洞shiro简介Apache Shiro是企业常见的JAVA安全框架，执行身份验证、授权、密码和会话管理。只要rememberMe的AES加密密钥泄露，无论shiro是什么版本都会导致...

06月01日413 views评论

阅读全文

安全文章

Web应用安全七大致命错误

阿卡迈(Akamai)最近的《互联网安全状况》报告中写道：“绝大部分Web应用攻击都是没有特定目标的大范围漏洞扫描，但少数攻击确实是为入侵特定目标而进行的针对性尝试。无论哪种情况，攻击都非常频繁而‘嘈...

05月29日33 views评论

阅读全文

CTF专场

CTF反序列化的一些视频

CTF反序列化的一些视频网鼎杯2020 朱雀组反序列化解题https://www.bilibili.com/video/BV1mV411k7Zf网鼎杯2020 CTF WEB反序列化解题https:...

05月24日50 views评论

阅读全文

安全文章

漏洞复现 CVE-2015-5254 ActiveMQ 反序列化漏洞

0x01 漏洞描述 Apache ActiveMQ是由美国阿帕奇（Apache）软件基金会开发的开源消息中间件，支持Java消息服务、集群、Sp...

05月24日120 views评论

阅读全文

代码审计

ysoserial的C3P0利用链分析

No.1声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必...

05月23日41 views评论

阅读全文

代码审计

Java反序列化基础篇-01-反序列化概念与利用

0x01 前言写这篇文章，是想在 Java 反序列化基础的地方再多过几遍，毕竟万丈高楼平地起。我是非常不建议新手们一上来就开始分析 CC 链，就开始看 shiro 的 POC 的，我觉得还是得先打好基...

05月23日90 views评论

阅读全文

代码审计

.NET高级代码审计-Fastjson反序列化漏洞

0X00 前言Java中的Fastjson曾经爆出了多个反序列化漏洞和Bypass版本，而在.Net领域也有一个Fastjson的库，作者官宣这是一个读写Json效率最高的的.Net 组件，使用内置方...

05月18日108 views评论

阅读全文

安全博客

Python Pickle命令执行漏洞原理

Python Pickle命令执行漏洞原理 2019-06-04 #Python #Pickle 简介Python的序列化/反序列化模块有两个，一个是Pickle、一个是cPickle，pickle ...

05月17日103 views评论

阅读全文

Java反序列篇-浅谈Shiro利用分析

告别脚本小子系列丨JAVA安全(6)——反序列化利用链（上）

原创｜PHP 序列化和反序列化

Web应用安全七大致命错误

CTF反序列化的一些视频

漏洞复现 CVE-2015-5254 ActiveMQ 反序列化漏洞

ysoserial的C3P0利用链分析

Java反序列化基础篇-01-反序列化概念与利用

.NET高级代码审计-Fastjson反序列化漏洞

Python Pickle命令执行漏洞原理

在线咨询

微信