hessian - 第 2 | CN-SEC 中文网

安全文章

CVE-2024-22399 - SwingLazyValue利用链构造分析

前言通过Apache Seata Hessian反序列化漏洞（CVE-2024-22399）来分析一下该漏洞中所用到的SwingLazyValue利用链的构造过程分析过程序列化代码，将序列化后的数据保...

12月06日17 views评论

阅读全文

安全工具

web-chians:一款全新的Java Payload生成框架

简介web-chains 包含但不限于以下功能：Java 反序列化Payload生成支持的混淆：随机集合混淆、垃圾类插入、TC_RESET 填充、utf8 overlong encoding 混淆He...

11月12日89 views评论

阅读全文

安全文章

记某次实战hessian不出网反序列化利用

前言某次攻防过程中我们发现了一个hessian反序列化漏洞，经过探测之后发现目标只有dns出网，tcp无法出网，然后我们开始了对目标的深度利用waf绕过首先目标存在一个waf，会拦截我们的Hessia...

11月11日28 views评论

阅读全文

Nacos 集群hessian反序列化漏洞

>>>> 漏洞名称： Nacos 集群hessian反序列化漏洞 >>>> 组件名称： Nacos >>>> 漏洞类型：反序列...

11月09日安全漏洞25 views评论

阅读全文

安全文章

xxl-job Hessian2反序列化漏洞深入利用

前言 xxl-job Hessian2反序列化漏洞本身是一个挺老的漏洞了，影响版本也比较老，在一次项目中碰到了xxl-job，其/api接口可以未授权访问存在hessian2反序列化漏洞...

10月08日91 views评论

阅读全文

安全漏洞

Apache Seata反序列化漏洞

0x00 漏洞编号 CVE-2024-22399 0x01 危险等级高危 0x02 漏洞概述Apache Seata是一款开源的分布式事务解决方案，用于在微服务架构下提供高性能和简单易用的分布式事务...

09月20日118 views评论

阅读全文

安全文章

漏洞分析 | xxl-job前台api未授权Hessian2反序列化

XXL-JOB是一个分布式任务调度平台。Hessian2是一种序列化协议，用于在XXL-JOB前后端之间传输数据。前台API未授权Hessian2反序列化是指，客户端请求XXL-JOB的前台API时，...

04月01日214 views评论

阅读全文

代码审计

hessian反序列化漏洞之Groovy链(代码分析)

Groovy更新到这里应该是hessian合集里的最后一篇文章了！如果喜欢作者文章的话，点个赞帮忙分享一下，如有不对的地方请大佬指出，对这方面感兴趣的师傅可以加个v 交流一下经验。文章不易多多支持！！...

02月24日47 views评论

阅读全文

安全漏洞

漏洞复现 Nacos Hessian反序列化漏洞

0x01 阅读须知融云安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操...

02月15日75 views评论

阅读全文

安全漏洞

Nacos Hessian反序列化漏洞

1漏洞描述Nacos在处理某些基于Jraft的请求时，采用Hessian进行反序列化，但并未设置限制，导致应用存在远程代码执行（RCE）漏洞。2漏洞复现步骤一：在Fofa中搜索以下语法并随机确定要进行...

02月15日113 views评论

阅读全文

安全漏洞

【漏洞预警】SOFARPC反序列化漏洞CVE-2024-23636

漏洞描述:SOFARPC是一个高性能、高扩展性、生产级的 Java RPC 框架,近日监测到SOFARPC中修复了一个反序列化漏洞（CVE-2024-23636),该漏洞的CVSSv3评分为9.8。由...

01月25日88 views评论

阅读全文

【漏洞通告】SOFARPC反序列化漏洞（CVE-2024-23636）

一、漏洞概述漏洞名称 SOFARPC反序列化漏洞CVE IDCVE-2024-23636漏洞类型反序列化发现时间2024-01-24漏洞评分9.8漏洞等级严重攻击向量网络所需权限无利用难度低用户...

01月24日安全漏洞77 views评论

阅读全文