jackson | CN-SEC 中文网

代码审计

JavaSec | jackson反序列化通杀链

本文由掌控安全学院 - fupanc 投稿前面简单了解了一下jackson反序列化，可以知道在序列化时会调用getter方法，而反序列化时会调用setter，但是都是有一定限制的，这里...

04月23日16 views评论

阅读全文

代码审计

javasec | fastjson底层分析

扫码领资料获网安教程本文由掌控安全学院 - nn0nkey 投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn）前言我们平常不得不了解一种数据就是js...

11月17日8 views评论

阅读全文

安全文章

利用操作顺序漏洞实现 Oracle Opera RCE

背景介绍：如果你在酒店行业工作，很可能已经见过或使用过 Oracle Opera，全球几乎所有最大的酒店/度假村连锁店都使用该软件，这个重要的软件包含了每位客人的所有 PII，包括但不限于信用卡详细...

11月09日11 views评论

阅读全文

代码审计

jackson 反序列化全文解析

pom.xml： <dependency> <groupId>com.fasterxml.jackson.core</groupId&...

10月16日37 views评论

阅读全文

安全文章

盲判断目标的fastjson版本

在之前的一篇fastjson实战文章中提到过如何判断fastjson的版本，主要是参考这篇文章。https://blog.csdn.net/m0_71692682/article/details/12...

09月28日44 views评论

阅读全文

代码审计

[代码审计]*软channel反序列化hsql浅析利用

免责声明本公众号所发布的所有内容，包括但不限于信息、工具、项目以及文章，均旨在提供学习与研究之用。所有工具安全性自测。如因此产生的一切不良后果与文章作者和本公众号无关。如有涉及公司与个人敏感信息，侵权...

09月12日42 views评论

阅读全文

安全文章

某报表玩坏的反序列化漏洞

起因某次护网应急响应,发现了最新版的某报表的被打掉了,日记记录channel触发的反序列化进行攻击的,和springkill大哥一起愉快调试两天了,想着已经玩了一个多月,差不多见光死了,就和大家分享...

08月20日123 views已关闭评论

阅读全文

Fastjson姿势技巧集合

点击蓝字，关注我们Fastjson姿势技巧集合一、判断是否用了fastjson鉴别fastjsonDNSLOG{"@type":"java.net.InetSocketAddress"{"addres...

08月12日安全文章36 views评论

阅读全文

jackson反序列化漏洞

反序列化漏洞触发根因使用了危险的类+传入类的参数外部可控未使用危险的类+类型和传入类型的参数外部可控第一种情况取决于开发在类中使用了危险的方法，常见于原生反序列化漏洞；第二种情况常见于允许解析外部传入...

08月11日代码审计34 views评论

阅读全文

代码审计

帆软反序列化分析

这段常态化时期，每天都整理和学习历年能打穿小朋友的漏洞，本文转载自 https://xz.aliyun.com/t/13389 这篇文章是关于FineBI软件中的反序列化漏洞的分析。以下是对文章内容的...

07月31日38 views评论

阅读全文

安全文章

JDBC Attack与高版本JDK下的JNDI Bypass

目录一、前言二、关于 JDBC Attack 三、关于 JNDI 注入四、使用JDBC Attack扩展JNDI注入攻击面五、总结一前言JNDI 注入作为 Java 攻击的常见 Sin...

07月31日59 views评论

阅读全文

安全文章

第97篇：对绕过2层waf的sql注入攻击语句的深入分析

Part1 前言大家好，我是ABC_123。最近几天的攻防演习蓝队分析中，同事发来一个绕过两层waf串联的sql注入语句，是一个通过折半法猜解数据的盲注，全程设备没有任何告警。我已经好久没见过s...

06月30日22 views评论

阅读全文