objectinputstream | CN-SEC 中文网

安全文章

fastjson 原生配合 jdk 原生的利用总结

免责声明：由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢...

02月24日8 views评论

阅读全文

代码审计

JAVA安全之JEP290攻防对抗录

JEP290简介JEP290增强机制是在2016年提出的一个针对JAVA 9的一个新特性，用于缓解反序列化攻击，随后官方决定向下引进该增强机制，分别对JDK 6,7,8进行了支持：Java SE De...

12月11日7 views评论

阅读全文

代码审计

第十八课-系统学习代码审计：Java反序列化基础-原生方式的序列化和反序列化简单使用

/ 写在前面 /好久没更新新了，后面还会持续更新，至少每周一篇🥰🥰需要进群的小伙伴私信就行了，可能回复不及时，看到会回复。视频教程：https://www.bilibili.com/video/BV1...

11月06日9 views评论

阅读全文

安全文章

浅谈 JEP290

0x01 前言属于是拖了很久的文章了，4.18 筹划着开始写，6.22 左右才真正开始提笔。一开始提到这个概念可能会比较懵逼，其实这就是为什么高版本 jdk 有部分能打 jndi，打不了 RMI8u1...

10月21日11 views评论

阅读全文

代码审计

九维团队-绿队（改进）| JAVA反序列化用法科普

一介绍java反序列化是将对象从字节流转换回对象的过程。在Java中，可以使用对象输出流来将Java对象序列化为字节流，并使用对象输入流将字节流反序列化为Java对象。反序列化的过程是在Java虚拟机...

10月18日8 views评论

阅读全文

安全新闻

Java 反序列化漏洞仍然存在

几个月前，Contrast 安全团队向 VMWare 安全团队报告了有关 Spring Kafka 的 Java 反序列化漏洞。它立即引起了我的注意，我开始分析这个错误。如果您有兴趣，可以查看我之前的...

10月26日24 views评论

阅读全文

安全文章

Weblogic Analysis Attacked by T3 Protocol From CVE (part 3)

前言继续抽空学习Weblogic CVE中有关T3协议的漏洞利用方式！环境搭建和前面的过程类似 T3+JRMP利用 CVE-2018-2628 原理这个CVE也就是前面的一种绕过，前面是在pa...

11月04日15 views评论

阅读全文

代码审计

分析JEP 290机制的Java实现

简介JEP290是Java官方提供的一套来防御反序列化的机制，其核心在于提供了一个ObjectInputFilter接口，通过设置filter对象，然后在反序列化（ObjectInputStream#...

10月16日59 views评论

阅读全文

安全文章

Weblogic Analysis Attacked by T3 Protocol From CVE (part 1)

前言 WebLogic是美国Oracle公司的主要产品之一，是商业市场上主要的 J2EE 应用服务器软件，也是世界上第一个成功商业化的J2EE应用服务器，在 Java 应用服务器中有非常广泛的部署和应...

10月13日27 views评论

阅读全文

安全文章

JBoss Remoting Connector 4446端口反序列化分析

今年4月份爆出JBoss EAP/AS <=6.版本的4446*端口存在反序列化rRCE漏洞，本文对该漏洞进行复现并做了以下分析。 0x01 漏洞分析测试版本：jboss-6.1.0.Fina...

10月01日72 views评论

阅读全文

RASP | ForgeRock OpenAM RCE远程代码执行检测与防御(CVE-2021-35464)

漏洞简介 ForgeRock AM是一个开源的访问管理、权限控制平台，在大学、社会组织中存在广泛的应用。未经身份验证的攻击者可以通过构造特殊的请求远程执行任意代码，...

05月16日安全漏洞127 views评论

阅读全文

安全开发

说说JAVA反序列化

JAVA 是我国开发者广泛使用的开发语言，在金融行业使用尤为突出。实战中，利用 Java 反序列化实现远程命令执行的案例增长趋势明显，同时，WebLogic、 WebSph...

01月02日171 views评论

阅读全文

fastjson 原生配合 jdk 原生的利用总结

JAVA安全之JEP290攻防对抗录

第十八课-系统学习代码审计：Java反序列化基础-原生方式的序列化和反序列化简单使用

浅谈 JEP290

九维团队-绿队（改进）| JAVA反序列化用法科普

Java 反序列化漏洞仍然存在

Weblogic Analysis Attacked by T3 Protocol From CVE (part 3)

分析JEP 290机制的Java实现

Weblogic Analysis Attacked by T3 Protocol From CVE (part 1)

JBoss Remoting Connector 4446端口反序列化分析

RASP | ForgeRock OpenAM RCE远程代码执行检测与防御(CVE-2021-35464)

说说JAVA反序列化

在线咨询

微信