json - 第 14 | CN-SEC 中文网

安全文章

一次实战之JSONP 漏洞

描述Jsonp(JSON with Padding) 是 json 的一种"使用模式"，可以让网页从别的域名（网站）那获取资料，即跨域读取数据。为什么我们从不同的域（网站）访问数据需要一个特殊的技术(...

12月29日232 views评论

阅读全文

安全开发

Java反序列化协议解析一

年前开始研究Java反序列化，一直没有研究Java反序列化文件的格式。最近闲来无事，研究一下java反序列化文件的格式。扯这么多的原因主要是达成两个目标尝试使用python读取java反序列化文件，并...

12月28日315 views评论

阅读全文

安全文章

【超详细】Fastjson1.2.24反序列化漏洞复现

0x01 前言Fastjson 是一个 Java 库，可以将 Java 对象转换为 JSON 格式，当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对...

12月21日398 views评论

阅读全文

8种src常用越权测试小技巧

(1)添加参数user/infouser/info?id=123(2)hpp 参数污染user/info?id=1user/info?id=2&id=1user/info?id=2,2&...

10月25日安全文章324 views评论

阅读全文

代码审计

fastjson黑盒测试与白盒审计

简介与漏洞史java处理JSON数据有三个比较流行的类库，gson(google维护)、jackson、以及今天的主角fastjson，fastjson是阿里巴巴一个开源的json相关的java li...

09月14日297 views评论

阅读全文

安全文章

渗透测试实战 | 一次信息泄露引发的越权

请点击上面　　一键关注！内容来源：先知社区一、概述1、登录逻辑系统开放3012、12017两个端口，前者为身份认证接口，以json形式返回token与权限参数，后者为业务系统，前端调用js-aes对j...

09月09日391 views评论

阅读全文

安全开发

Spring Boot 无侵入式实现 API 接口统一 JSON 格式返回

点击上方 Java后端，选择设为星标优质文章，及时送达来源：blog.csdn.net/qq_34347620/article/details/102239179无侵入式统一返...

09月08日161 views评论

阅读全文

安全工具

Fastjson漏洞复现

前言前不久传的沸沸扬扬的FastJson反序列化漏洞，相信有不少企业都中招了，当然我司也未能幸免，基于次漏洞更具官方给的补漏措施，已完全可以避免在这不再阐述。本文就拿它从一个简单的FastJ...

07月14日478 views评论

阅读全文

[原]Fastjson漏洞修复参考

Fastjson漏洞修复参考 1. 漏洞背景 Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串...

06月30日安全文章458 views评论

阅读全文

代码审计

FastJson入门介绍&&1.2.24利用链分析

FastJson介绍&入门 FastJson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到Ja...

06月08日398 views评论

阅读全文

漏洞时代

Ecshop 3.0 flow.php SQL注射漏洞

关于这个漏洞是新版本修复了。下载了古老的版本对比才发现的。只是怎么也没有想到ecshop也会犯这种低级的错误。好吧，文件flow.php

01月01日511 views评论

阅读全文

一次实战之JSONP 漏洞

Java反序列化协议解析一

【超详细】Fastjson1.2.24反序列化漏洞复现

8种src常用越权测试小技巧

fastjson黑盒测试与白盒审计

Spring Boot 无侵入式实现 API 接口统一 JSON 格式返回

推荐 5 款好用的REST API工具

Fastjson漏洞复现

[原]Fastjson漏洞修复参考

FastJson入门介绍&&1.2.24利用链分析

Ecshop 3.0 flow.php SQL注射漏洞

在线咨询

微信