parse | CN-SEC 中文网

代码审计

Java件组分析 - Fastjson1.2.(22-24)反序列化分析

2.2FastJson1.2.22-1.2.24 反序列化分析1.漏洞原理FastJson 反序列化是因为未对@type字段进行有效的校验导致可以传入恶意的类且反序列化的时候会自动调用setter和无...

05月19日8 views评论

阅读全文

安全工具

MaLoader 一键绕过主流杀软！MaLoader免杀神器实测详解

声明：本文内容仅限安全研究与授权测试使用，禁止用于任何非法活动。请严格遵守《中华人民共和国网络安全法》等相关法规。在网络安全领域，攻防技术的更新迭代从未停止。今天，我们深入解析一款基于现代技术栈打造...

05月15日14 views评论

阅读全文

FastJSON 安全审计简洁实用指南：黑盒免测也能揪出漏洞

FastJSON 漏洞源码审计简易版📌 本文讲解如何在源码层面快速识别 FastJSON 的危险用法，即使不跑 POC、不用 Burp，也能定位风险点。📦 什么是 FastJSON ？FastJSON...

05月06日代码审计12 views评论

阅读全文

Spring MVC + FastJSON：反序列化攻击是怎么一步步发生的？

🧠 Spring MVC 是怎么悄咪咪地调用了 FastJSON 来反序列化的？🌟 一句话总结：你只写了一句 @RequestBody Object data，Spring 就自动帮你用 FastJS...

04月25日代码审计13 views评论

阅读全文

FastJSON + MQ 实现反序列化漏洞攻击链

🚨 利用 FastJSON + MQ 实现反序列化漏洞攻击链在现代微服务架构中，消息中间件（如 Kafka、RocketMQ、RabbitMQ）被广泛用于服务解耦与异步通信。然而，这也带来了新的攻击面...

04月25日代码审计11 views评论

阅读全文

渗透测试 FastJSON 是个延时炸弹？

💥 为什么 FastJSON 漏洞不是在 parse() 阶段触发，而是在 toString() 等方法中爆发？在渗透测试中，FastJSON 的反序列化漏洞是一个“老面孔”了。但很多新手刚开始接触时...

04月25日安全文章16 views评论

阅读全文

安全文章

全网最全！FastJSON 静态规则图鉴，写了就能查！

🧠 FastJSON 静态代码分析规则大全🎯 在审计时如何快速定位关键位置，可以使用下面的正则来查询，适用于 Java 代码安全审计场景，辅助你快速检测✅ 1：检测是否显式开启 AutoType🎯 正...

04月25日9 views评论

阅读全文

安全文章

通过英特尔 ShaderCache 目录绕过 UAC

我得承认，我的 Discord 服务器启发了我最近对一种新发现的 UAC 绕过方法的研究！😸 我在 Discord 服务器上看到很多关于权限提升的讨论，这让我很想研究一些比较新的 UAC 绕过方法。我...

04月25日10 views评论

阅读全文

SpEL 表达式注入漏洞

声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。请大家关注公众号支持，不定期有宠粉福利Par...

04月24日安全文章14 views评论

阅读全文

安全漏洞

HFS2.3远程代码执行(CVE-2024-23692 )漏洞

免则声明：本公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权转载和其他公众号白名单转载，如需转载，联系作者开白。文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其...

04月24日33 views评论

阅读全文

一文看懂 JSON.parse 背后的安全隐患与黑盒利用方法

一文看懂 JSON.parse 背后的安全隐患与黑盒利用方法🔍 一段简单的 JSON 解析代码，可能是一次严重的原型污染、提权绕过、服务瘫痪的开始。本文深入解析 JSON.parse() 的安全风险、...

04月23日安全文章11 views评论

阅读全文

开发者注意！Vite框架曝高危漏洞，你的项目受影响了吗？（含poc和批量脚本）

声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，淮橘安全及文章作者不为此承担任何责任。现在只对常读和星标的公众号才展...

04月23日安全漏洞11 views评论

阅读全文