fastjson - 第 32 | CN-SEC 中文网

安全文章

fastjson 1.2.76 和其他JSON库使用不当可能造成漏洞

背景这个问题是由 fastjson 和（net.sf.json-lib 或者 org.json 其中一个库）同时在代码中使用且编写不当造成，关于 JSON-lib 和 org.json 这两个库做过...

05月08日810 views评论

阅读全文

代码审计

从开发角度看那些FastJson漏洞不为人知的事情

文章来源自FreeBuf.COM前言在FastJson<=1.2.24漏洞公布时我还是一个开发，对于这个消息我震撼至极，那时的FastJson的热度可谓如日中天。但是，对FastJson漏洞复现...

04月27日68 views评论

阅读全文

安全闲碎

2021年，SQL注入死透了么？

来自公众号：小姐姐味道作者简介：一个不允许程序员走弯路的公众号。聚焦基础架构和Linux。十年架构，日百亿流量，与你探讨高并发世界，给你不一样的味道。很长一段时间，我认为后端开发，在安全性方面最容易出...

04月21日60 views评论

阅读全文

SecIN安全技术社区

浅谈fastjson waf Bypass思路

前言 Fastjson是一个阿里巴巴开发的java高性能JSON库，应用范围非常广。虽然其性能强、适配性高，但是也出现过相关RCE缺陷。相关的安全设备...

03月25日717 views已关闭评论

阅读全文

SecIN安全技术社区

Laravel 8 反序列化分析

forward laravel的版本已经到了8；这里分析一个laravel8的反序列化漏洞，但是让我感到意外的是，这个漏洞竟然在低版本的laravel上依然可以存在，从根本来说这个漏洞是laravel...

03月25日65 views已关闭评论

阅读全文

安全博客

FastJson反序列漏洞exp

expFastJson利用工具0day 爆出一个月了，我现在才有时间来分析一下。先把rmi的server先跑起来，然后在mian里面选个payload就可以看到calc了。

01月20日536 views评论

阅读全文

SecIN安全技术社区

在XML中测试Fastjson反序列化

引言在实际业务开发中，经常会对xml或者json类型的请求数据进行解析。例如微信扫码支付的功能，按照微信开发文档与支付平台进行数据交互就需要使用XML格式的数据。针对XML传...

01月20日164 views评论

阅读全文

安全文章

这些FastJson漏洞已经人尽皆知的事情（安全角度）

文章来源：疯猫网络一个阳光灿烂的冬日清晨，我一如既往地躲在被窝里刷着手机。突然，有一篇公众号头条的一篇文章吸引了我：那些FastJson漏洞不为人知的事情（开发角度）哇塞，这标题，一看就是...

01月12日222 views评论

阅读全文

安全开发

那些FastJson漏洞不为人知的事情（开发角度）

前言在FastJson<=1.2.24漏洞公布时我还是一个开发，对于这个消息我震撼至极，那时的FastJson的热度可谓如日中天。但是，对FastJson漏洞复现过后突然心就被伤了，那些把Fas...

12月26日307 views评论

阅读全文

安全文章

【超详细】Fastjson1.2.24反序列化漏洞复现

0x01 前言Fastjson 是一个 Java 库，可以将 Java 对象转换为 JSON 格式，当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对...

12月21日398 views评论

阅读全文

安全文章

Fastjson小于1.2.68版本反序列化漏洞分析

前言迟到的Fastjson反序列化漏洞分析，按照国际惯例这次依旧没有放poc。道理还是那个道理，但利用方式多种多样。除了之前放出来用于文件读写的利用方式以外其实还可以用于SSRF。一、漏洞概述在之前其...

11月17日265 views评论

阅读全文

安全文章

使用DNSlog_GO实现快速检测FastJson

Dnslog_Go原本是为了配合我的Httphook项目的一个子项目，目的是为了配合hk实现各种盲漏洞的探测，但是后来看到目前github上的各种dnslog项目都需要，安装各种依赖，于是就把这个项目...

10月22日640 views评论

阅读全文

在线咨询

微信