jackson - 第 2 | CN-SEC 中文网

代码审计

代码审计-Java项目-反序列化漏洞

java序列化和反序列化的概念：序列化：把Java对象转换为字节流的过程。反序列化：把字节流恢复为Java对象的过程。序列化函数接口：Java：Serializable Externalizable接...

06月08日36 views评论

阅读全文

安全工具

帆软bi反序列化漏洞利用工具

介绍支持jackson、hibernate、cb反序列化链来进行利用工具使用dnslog功能命令执行回显项目地址https://github.com/yecp181/Frchannel文章来源：...

05月30日58 views评论

阅读全文

代码审计

深入浅出解析Jackson反序列化

Jackson介绍Jackson是一个流行的Java库，用于处理JSON格式的数据。它提供了一组功能强大的工具，可以方便地在Java对象和JSON之间进行转换。以下是关于Jackson库的介绍：Jac...

04月22日35 views评论

阅读全文

安全新闻

网安简报【2024/3/14】

2024-03-14 微信公众号精选安全技术文章总览洞见网安 2024-03-140x1 android漏洞复现：从后台启动Activity大山子雪人 2024-03-14 21:51:090x2 n...

03月15日31 views评论

阅读全文

安全文章

Jackson反序列化(学习笔记1)

Jackson的大致了解Jackson的简介Jackson是一个开源的Java序列化和反序列化工具，可以将Java对象序列化为XML或JSON格式的字符串，以及将XML或JSON格式的字符串反序列化为...

12月18日18 views评论

阅读全文

代码审计

一分钟看完JackSon漏洞

CVE-2020-14062首先是：System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");JNDIConnec...

11月16日51 views评论

阅读全文

安全文章

WebLogic 远程代码执行漏洞分析

VLab-实验室Weblogic最近的补丁日更新了多个远程代码执行漏洞，笔者对比最新的补丁发现黑名单列表中新增了“com.fasterxml.jackson.databind.node”。前段时间有c...

10月30日25 views评论

阅读全文

安全文章

从bypassit1了解POJONode#toString调用getter方法原理

前言前面说到了在fastjson中的原生的一个反序列化调用任意类的getter方法的原理与细节从最开始的fastjson < 1.2.48下的在JSONObject / JSONArray类反序...

05月12日58 views评论

阅读全文

安全文章

Jackson调用链自动化发掘思路

《Jackson调用链自动化发掘思路》是i春秋论坛签约作家「Wdd」表哥分享的技术文章，公众号旨在为大家提供更多的学习方法与技能技巧，文章仅供学习参考。Wdd五年安全行业从业经验，目前从事甲方安全工程...

05月09日27 views评论

阅读全文

安全工具

工具 | FastJson、Jackson、Log4j2、原生JNDI注入漏洞的高版本JDKBypass利用

前言本工具用于解决 Fastjson、log4j2、原生JNDI注入等场景中针对高版本JDK无法加载远程恶意类，通过LDAP服务器返回原生Java反序列化数据，受害者（客户端）在具备反序列化Gadg...

05月04日150 views评论

阅读全文

代码审计

【安全研究】Jackson 学习笔记

基本介绍Jackson框架是基于Java平台的一套数据处理工具，被称为"最好的Java Json解析器"，目前Jackson主要有1.x和2.x两个分支版本，其中1.x的类库中包命名以org.code...

03月23日30 views评论

阅读全文

安全文章

聊聊web漏洞挖掘第一期

聊聊web漏洞挖掘第一期声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。模拟安全测试信息收...

01月15日37 views评论

阅读全文

在线咨询

微信