前言 前几天刷推看到 ZDI 发了 SolarWinds Security Event Manager AMF 反序列化 RCE 的通告, 于是准备简单分析一下 https://www.zeroday...
建议收藏|CISSP证书维持常见问题
维持要求(1)严格遵守ISC2职业道德规范不言而喻,凡违反职业道德的持证者都不适宜继续从事信息安全工作。所有获得ISC2 认证的专业人士必须认识到:ISC2 认证是一项需努力获取并尽力维护的特权。为此...
浅说AMF反序列化及利用链构造
点击上方·关注我们吧首先查看常规项目中,amf的配置入口,MessageBrokerServlet类处理/messagebroker/*请求接下来跟下去查看流程,在MessageBrokerServl...
coldfusion反序列化过waf改exp拿靶标的艰难过程
Part1 前言 本期分享一个有关Java反序列化漏洞的过waf案例。目标应用系统是Adobe ColdFusion动态web服务器,对应的漏洞编号是CVE-2017-3066,曾经利用这个反序列化漏...
5G注册管理流程和安全分析
一. 概述本文先介绍了5G环境下用户注册管理流程中的初始化注册场景,再基于该场景中的注册过程,分析了其可能存在的两个威胁场景,在UERANSIM+free5gc的模拟环境中进行了复现,最后...
红队第10篇:coldfusion反序列化过waf改exp拿靶标的艰难过程
Part1 前言 大家好,上周分享了《给任意java程序挂Socks5代理方法》、《盲猜包体对上传漏洞的艰难利用过程》两篇红队技术文章,反响还不错。本期分享一个有关Java反序列...