序列化 - 第 33 | CN-SEC 中文网

安全文章

Java反序列化数据绕WAF之加大量脏数据

0x01 背景前几周有个同事发给我一个授权的站点,需要拿下webshell权限。发现存在Java反序列化漏洞，但是有WAF,ysoserial生成的序列化数据直接就被拦截了。绕W...

03月17日210 views评论

阅读全文

安全文章

有趣的php反序列化总结

from:https://forum.90sec.org/forum.php?mod=viewthread&tid=9356&extra=page%3D1前言很久以前写过一篇文章讲过p...

03月17日147 views评论

阅读全文

安全文章

java反序列化-动态代理

前言在分析readObject 和writeObject中都会进去NonProxy方法中去分析，那么可以猜到，反序列化中，当满足一定的条件，会调用代理模式，这篇就来讲一下Java的动态代理机制。代理...

03月17日118 views评论

阅读全文

安全工具

Apereo CAS 反序列化利用工具

简介Apereo CAS 是一个开源的企业级单点登录系统，很多统一认证系统都是基于此系统二次开发支持自定义命令效果感谢 https://github.com/langligelang/CAS_EXP/...

03月07日298 views评论

阅读全文

安全闲碎

011 Apache Shiro 反序列化命令执行漏洞

2.Apache Shiro 反序列化命令执行漏洞漏洞名称Apache Shiro 反序列化命令执行漏洞漏洞地址https://www.wangan.com/docs/418漏洞等级超危漏洞描述Apa...

03月04日151 views评论

阅读全文

安全文章

CVE-2020-15148 Yii2框架反序列化漏洞

文章源自【字节脉搏社区】-字节脉搏实验室作者-purplet扫描下方二维码进入社区：一、漏洞简介如果在使用yii框架，并且在用户可以控制的输入处调用了unserialize()并允许特殊字符的情况下，...

03月03日220 views评论

阅读全文

代码审计

干货|python安全和代码审计相关资料整理

代码注入、命令执行1.内置危险函数execexecfileeval2.标准库危险模块ossubprocesscommands3.危险第三方库Template(user_input) : 模板注入(SS...

03月01日411 views评论

阅读全文

分享一个文章

文章地址是：一处反序列化任意文件写入的漏洞分析真有意思第一次理解file_put_contents的2个参数，竟然支持php://伪协议666也学习到了 base64是8位解一下行本文始发于微信公...

02月26日安全文章80 views评论

阅读全文

代码审计

干货分享 | Fastjson远程命令执行漏洞总结

1.FastJson 简介fastjson.jar包原始下载地址：https://github.com/alibaba/fastjsonfastjson用于将Java Bean序列化为JSON字符串，...

02月20日188 views评论

阅读全文

安全开发

Redis 解决 WebSocket 分布式场景下 Session共享问题

点击下方“IT牧场”，选择“设为星标”来源：blog.csdn.net/weixin_45089791/article/details/118028312在显示项目中遇到了一个问题，需要使用到webs...

02月19日134 views评论

阅读全文

安全文章

干货 | Fastjson远程命令执行漏洞总结

1.FastJson 简介fastjson.jar包原始下载地址：https://github.com/alibaba/fastjsonfastjson用于将Java Bean序列化为JSON字符串，...

02月19日40 views评论

阅读全文

安全开发

XStream反序列化漏洞原理深度分析

一、XStream框架组成分析XStream是java实现对javaBean(实用类)简单快速进行序列化反序列化的框架。目前支持XML或JSON格式数据的序列化或反序列化过程。XStream总体主要由...

02月07日46 views评论

阅读全文

在线咨询

微信