序列化 - 第 36 | CN-SEC 中文网

安全博客

PHP反序列化学习与实践

概念反序列化：PHP程序为了保存和转储对象，提供了序列化的方法，PHP序列化是为了在程序运行的过程中对对象进行转储而产生的。序列化可以将对象转换成字符串，但仅保留对象里的成员变量，不保留函数方法。 ...

01月06日103 views评论

阅读全文

安全博客

Apereo Cas 4.1.x 反序列化命令执行漏洞

概要 Apereo CAS 是一款 Apereo 发布的集中认证服务平台，常被用于企业内部单点登录系统。其 4.1.7 版本之前存在一处默认密钥的问题，利用这个默认密钥我们可以构造恶意信息触发目标反序...

01月06日129 views评论

阅读全文

代码审计

dotNet 反序列化ISerializable系列链分析

ISerializable有哪些链：System.Web.Security.RolePrincipalSystem.Security.Principal.WindowsIdentitySystem.S...

01月04日67 views评论

阅读全文

安全开发

说说JAVA反序列化

JAVA 是我国开发者广泛使用的开发语言，在金融行业使用尤为突出。实战中，利用 Java 反序列化实现远程命令执行的案例增长趋势明显，同时，WebLogic、 WebSph...

01月02日171 views评论

阅读全文

先知文章

.net反序列化之Fastjson - Y4er

Fastjson fastjson是之前比较流行的第三方json库。官方文档宣称其性能测试第一，并且给了图本文讲解fastjson.net的反序列化漏洞 demo 一个最小的序列化demo usin...

12月31日174 views评论

阅读全文

先知文章

用一个 case 去理解 jdk8u20 原生反序列化漏洞 - panda

0x01 写在前面 jdk8u20原生反序列化漏洞是一个非常经典的漏洞，也是我分析过最复杂的漏洞之一。在这个漏洞里利用了大量的底层的基础知识，同时也要求读者对反序列化的流程、序列化的数据结构有一定的...

12月31日78 views评论

阅读全文

先知文章

Shiro反序列化与Tomcat内存马注入学习 - ccdr4gon

最近在入门JAVA安全,看的第一个洞是Shiro反序列化,已经是个2016年的老洞了这个漏洞第一似乎比较适合入门,而且实战确实还能遇到几个(犄角旮旯里的系统),另外现有的注入工具注入内存马的时候可能...

12月31日306 views评论

阅读全文

先知文章

.net反序列化之JavaScriptSerializer - Y4er

JavaScriptSerializer JavaScriptSerializer是微软内部自带的api，可以在对象和json字符串之前来回转换。其命名空间位于System.Web.Script.Se...

12月31日99 views评论

阅读全文

先知文章

.net反序列化之NetDataContractSerializer - Y4er

NetDataContractSerializer NetDataContractSerializer和DataContractSerializer同样用于序列化和反序列化 Windows Commu...

12月31日69 views评论

阅读全文

先知文章

.net反序列化之DataContractSerializer - Y4er

DataContractSerializer 使用提供的数据协定，将对象序列化和反序列化为 XML 流或文档，多用于序列化和反序列化 Windows Communication Foundation ...

12月31日39 views评论

阅读全文

先知文章

.net反序列化之ObjectStateFormatter - Y4er

ObjectStateFormatter ObjectStateFormatter同样用于序列化和反序列化表示对象状态的对象图。实现IFormatter、IStateFormatter。微软官方文档...

12月31日55 views评论

阅读全文

先知文章

.net反序列化之LosFormatter - Y4er

LosFormatter LosFormatter一般用于序列化存储视图流状态，多用于Web窗体，如ViewState。LosFormatter封装在System.Web.dll中，命名空间为Syst...

12月31日77 views评论

阅读全文

PHP反序列化学习与实践

Apereo Cas 4.1.x 反序列化命令执行漏洞

dotNet 反序列化ISerializable系列链分析

说说JAVA反序列化

.net反序列化之Fastjson - Y4er

用一个 case 去理解 jdk8u20 原生反序列化漏洞 - panda

Shiro反序列化与Tomcat内存马注入学习 - ccdr4gon

.net反序列化之JavaScriptSerializer - Y4er

.net反序列化之NetDataContractSerializer - Y4er

.net反序列化之DataContractSerializer - Y4er

.net反序列化之ObjectStateFormatter - Y4er

.net反序列化之LosFormatter - Y4er

在线咨询

微信