deserialization | CN-SEC 中文网

代码审计

Java Deserialization CB链分析

Commons-BeanUtilsBeanUtils底层是使用内省完成的（内省的底层是使用反射完成的）sun公司提供了内省（Introspector）的API，Apache去进行使用访问javabea...

01月03日4 views评论

阅读全文

安全文章

Swoole deserialization Gadgets

First Gadgets–Rouge MySQL Server Exploit <?php function changeProperty ($object, $property, $valu...

08月18日9 views已关闭评论

阅读全文

安全漏洞

Raisecom智能网关 list_base_config 远程命令执行漏洞【附poc】

fofa body="oForm.user_name.value" 资产页面一、漏洞简述 Raisecom智能网关是瑞斯康达公司面向中小企业及行业分支机构推出的新一代语音融合接入型网络...

07月29日399 views评论

阅读全文

安全漏洞

用友NC Cloud blobRefClassSearch FastJson反序列化漏洞【附poc】

fofa app="用友-NC-Cloud" 资产页面一、漏洞简述用友NC以“全球化集团管控、行业化解决方案、全程化电子商务、平台化应用集成”的管理业务理念而设计，采用J2EE架构和先进开放的集团...

07月14日348 views评论

阅读全文

安全闲碎

G.O.S.S.I.P 阅读推荐 2024-05-20 JDD

今天我们要为大家推荐一篇来自IEEE S&P 2024的研究论文Efficient Detection of Java Deserialization Gadget Chains via Bo...

05月21日37 views评论

阅读全文

代码审计

.net反序列化的新利用

在Hexacon 2023 演讲中，有一个议题为“Exploiting Hardened .NET Deserialization: New Exploitation Ideas and Abuse ...

10月25日52 views评论

阅读全文

安全博客

JDBC Connection URL Attack

The several means of attacking java web application by manipulating MYSQL JDBC URL had been revealed...

05月25日40 views评论

阅读全文

SecIN安全技术社区

从Deserialization和覆盖trustURLCodebase进行JNDI注入

Deserialization LDAP 在通过LDAP协议访问远程服务的时候，我们可以跟进到 LdapCtx#c_lookup方法中这里调用了 doSearchOnce方法获取LDAP远程返回的R...

03月12日24 views已关闭评论

阅读全文

安全文章

CVE-2022-39198 Apache Dubbo Hession Deserialization分析

出品|先知社区(ID:LeeH）声明以下内容，来自先知社区的LeeH作者原创，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，长白山攻防实验室以及文章作者不承担任...

01月03日47 views评论

阅读全文

安全博客

JDBC Connection URL Attack

The several means of attacking java web application by manipulating MYSQL JDBC URL had been revealed...

01月01日26 views评论

阅读全文

安全文章

不安全的反序列化-攻击示例（六）

在本节中，将用PHP、Ruby和Java反序列化的例子指导如何利用一些常见的情况，从而证明利用不安全的反序列化实际上比许多人认为的要容易很多。如果能使用预先建立的小工具链，在黑盒测试中甚至可以做到这一...

12月08日41 views评论

阅读全文

安全文章

不安全的反序列化-攻击示例（五）

12月02日46 views评论

阅读全文

Java Deserialization CB链分析

Swoole deserialization Gadgets

Raisecom智能网关 list_base_config 远程命令执行漏洞【附poc】

用友NC Cloud blobRefClassSearch FastJson反序列化漏洞【附poc】

G.O.S.S.I.P 阅读推荐 2024-05-20 JDD

.net反序列化的新利用

JDBC Connection URL Attack

从Deserialization和覆盖trustURLCodebase进行JNDI注入

CVE-2022-39198 Apache Dubbo Hession Deserialization分析

JDBC Connection URL Attack

不安全的反序列化-攻击示例（六）

不安全的反序列化-攻击示例（五）

在线咨询

微信