getter - 第 2 | CN-SEC 中文网

安全文章

WebLogic 远程代码执行漏洞分析

VLab-实验室Weblogic最近的补丁日更新了多个远程代码执行漏洞，笔者对比最新的补丁发现黑名单列表中新增了“com.fasterxml.jackson.databind.node”。前段时间有c...

10月30日27 views评论

阅读全文

代码审计

Hibernate 反序列化链

简介Hibernate是一个开源免费的、基于 ORM 技术的 Java 持久化框架。通俗地说，Hibernate 是一个用来连接和操作数据库的 Java 框架，它最大的优点是使用了 ORM 技术。Hi...

07月24日111 views评论

阅读全文

代码审计

Fastjson反序列化漏洞原理与漏洞复现（基于vulhub，保姆级的详细教程）

漏洞原理1.啥是json?json全称是JavaScript object notation。即JavaScript对象标记法，使用键值对进行信息的存储。举个简单的例子如下：{ ...

06月11日141 views评论

阅读全文

安全文章

从bypassit1了解POJONode#toString调用getter方法原理

前言前面说到了在fastjson中的原生的一个反序列化调用任意类的getter方法的原理与细节从最开始的fastjson < 1.2.48下的在JSONObject / JSONArray类反序...

05月12日65 views评论

阅读全文

代码审计

CommonsBeanutils及shiro中利用

前言这篇将介绍一下 CommonsBeanutils 链，以及没有 commons-collections 的Shiro反序列化利用Apache Commons BeanutilsApache Com...

03月25日33 views评论

阅读全文

安全文章

CVE-2022-39198 Apache Dubbo Hession Deserialization分析

出品|先知社区(ID:LeeH）声明以下内容，来自先知社区的LeeH作者原创，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，长白山攻防实验室以及文章作者不承担任...

01月03日49 views评论

阅读全文

安全工具

21 款 yyds 的 IDEA插件

最近，闲来无事，为了改变一下枯燥的编程环境，特地搜寻了下有助提升代码功力的插件.1、Stackoverflow 这个插件其实是最实用的插件，程序猿遇到的问题，基本都能找到回答，但是它使用的是...

10月30日58 views评论

阅读全文

安全文章

Fastjson漏洞利用分析

FastjsonFastjson 组件是阿里巴巴开发的反序列化与序列化组件Fastjson组件在反序列化不可信数据时会导致远程代码执行。究其原因：Fastjson 提供了反序列化功能，允许用户在输入 ...

07月14日35 views评论

阅读全文

SecIN安全技术社区

浅谈CVE-2022-22965漏洞成因（二）

前言：记录一篇自己入门java安全的故事，捋一下思路，轻量知识，重在调试！ . 这篇文章四个部分：引入篇：整理一下CVE-2022-22965漏洞的来龙去脉基础篇：回顾Java中一些基础的内容...

06月30日276 views已关闭评论

阅读全文

WebLogic 远程代码执行漏洞分析

Hibernate 反序列化链

Fastjson反序列化漏洞原理与漏洞复现（基于vulhub，保姆级的详细教程）

从bypassit1了解POJONode#toString调用getter方法原理

CommonsBeanutils及shiro中利用

CVE-2022-39198 Apache Dubbo Hession Deserialization分析

21 款 yyds 的 IDEA插件

Fastjson漏洞利用分析

浅谈CVE-2022-22965漏洞成因（二）

在线咨询

微信