alibaba | CN-SEC 中文网

安全文章

Alibaba Sentinel的SSRF

作者Github提交地址：https://github.com/alibaba/Sentinel/issues/2451在 idea 进行部署，启动，访问：http://127.0.0.1:8080。...

04月18日10 views评论

阅读全文

代码审计

fastjson1.2.80 in Springtboot新链学习记录

免责声明：由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢...

04月17日28 views评论

阅读全文

代码审计

JavaSec | c3p0反序列化分析

扫码领资料获网安教程本文由掌控安全学院 - 3358756550 投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn）简介C3P0是JDBC的一个连接池...

04月14日9 views评论

阅读全文

安全文章

Web篇 | Fastjson反序列化漏洞深度剖析：成因、挖掘思路与防范攻略（上）

免责声明！本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法。大纲Fastjson介绍相关概念及Fastjson反序列化...

04月10日19 views评论

阅读全文

安全文章

fastjson 原生配合 jdk 原生的利用总结

02月24日9 views评论

阅读全文

安全闲碎

ProxmoxVE8.3下导入Alibaba Cloud Linux3 qcow2镜像并使用Cloudinit进行启动

一、先安装ProxmoxVE8.3安装步骤截图如下注意安装时磁盘Options中将maxvz设置成0这样就不会生成local-lvm的存储目录当然你也可以不设置直接安装，这时安装后会生成如下Tips:...

02月15日41 views评论

阅读全文

安全文章

Fastjson1.2.25-1.2.41反序列化利用

书接上文我们继续分析fastjsonFastjson1.2.24反序列化利用自1.2.25起autotype默认为false。AutoType为false时只允许白名单的类，但白名单默认是空的，所以该...

02月12日11 views评论

阅读全文

安全文章

WAF绕过 | 记一次实战中对Fastjson waf的绕过

原文链接：https://xz.aliyun.com/t/15602 作者：1341025112991831 0x1 前言最近遇到一个fastjson的站，很明显是有fastjson漏洞...

01月09日20 views评论

阅读全文

安全文章

浅析Dubbo Kryo/FST反序列化漏洞（CVE-2021-25641）

0x00 前言学习下最近爆出的Dubbo漏洞。0x01 漏洞原理Dubbo Provider即服务提供方默认使用dubbo协议来进行RPC通信，而dubbo协议默认是使用Hessian2序列化格式进行...

12月28日10 views评论

阅读全文

安全工具

SinkFinder 开源 - 版本更新+LLM能力

更新内容增加入口 Source 点判断增加 LLM 能力集成其他缓存优化 1. Source 点判断 webx 入口实现 com.alibaba.citrus.service.pipeline....

12月01日22 views评论

阅读全文

安全闲碎

技术杂谈

本篇主要分享一些关于近期所看到或碰到的一些问题的个人开发。关于fastjson触发get方法（1）某些只存在getter不存在setter的可以触发，如fastjson<=1.2.24时候的Te...

11月14日15 views评论

阅读全文

安全文章

打穿云上内网

“ 想全是问题，做全是答案！”再帮学校的某系统做测试的时候，发现泄露了osskey,虽然之前也有发现过但都没有深入利用，此次正好深入利用一下，扩展一下自己的知识面。01—发现osskey 在对该...

11月11日13 views评论

阅读全文

Alibaba Sentinel的SSRF

fastjson1.2.80 in Springtboot新链学习记录

JavaSec | c3p0反序列化分析

Web篇 | Fastjson反序列化漏洞深度剖析：成因、挖掘思路与防范攻略（上）

fastjson 原生配合 jdk 原生的利用总结

ProxmoxVE8.3下导入Alibaba Cloud Linux3 qcow2镜像并使用Cloudinit进行启动

Fastjson1.2.25-1.2.41反序列化利用

WAF绕过 | 记一次实战中对Fastjson waf的绕过

浅析Dubbo Kryo/FST反序列化漏洞（CVE-2021-25641）

SinkFinder 开源 - 版本更新+LLM能力

技术杂谈

打穿云上内网

在线咨询

微信