XXL-JOB是一个分布式任务调度平台。Hessian2是一种序列化协议,用于在XXL-JOB前后端之间传输数据。前台API未授权Hessian2反序列化是指,客户端请求XXL-JOB的前台API时,...
Ruoyi Sql Rce v4.7.8 RCE 复现分析
感谢luelueking大佬提供的思路 https://github.com/luelueking/RuoYi-v4.7.8-RCE-POC RuoYi项目地址 https://github.com/...
使用太阿(Tai-e)进行静态代码安全分析
概述 Tai-e是针对java的静态程序分析框架,支持包括指针分析、数据流分析、污点分析在内的诸多静态程序分析。由于Tai-e并非专门用来做静态代码安全分析,所以并非开箱即用,在实际安全分析中使用有许...
Apache UIMA Java SDK <3.5.0 反序列化漏洞
Apache UIMA 是一个用于分析非结构化内容(比如文本、视频和音频)的组件架构和软件框架实现。由于Apache UIMA Java SDK在反序列化Java对象时没有验证数据,当应用程序中使用了...
AOSP源码定制-so注入并集成hook框架
AOSP源码定制-so注入并集成hook框架介绍最近研究so的hook相关,看到了一些文章,尝试配合修改系统源码进行so注入hook,配合sandhook框架对测试app进行hook。下面还是用AOS...
HTTP_Apache_Ofbiz_反序列化漏洞分析
漏洞说明Apache Ofbiz 0day 未授权代码执行(CVE-2023-49070):影响Apache OFBiz before 18.12.10,来自于CVE-2020-9496的绕过漏洞复现...
用友U8 Cloud 反序列化漏洞
写在前面 用友U8 cloud反序列化漏洞是一个前台的反序列化漏洞,这篇文章有保姆级别环境搭建与漏洞分析、POC等,感谢Worl...