readobject | CN-SEC 中文网

代码审计

代码审计-反序列化CC链

1、首先已知恶意接口类Transformer、查看他的实现类，使用Crtl+H2、查看InvokerTransformer类，在该类发现到如下问题代码，反射调用传入的任意类方法，该方法源码如下所示。明...

06月13日25 views评论

阅读全文

代码审计

Java利用链URLDNS分析及利用

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！如有侵权烦请告知，我会立即删除并致歉。谢谢！文章有疑问的，可以公众号发消息...

05月15日20 views评论

阅读全文

安全百科

反序列化漏洞原理剖析：从攻击到防御

点击上方蓝字关注我们在安全测试中，反序列化漏洞（Deserialization Vulnerability）因其高危害性和隐蔽性，成为近年来攻击者利用的最为频繁的漏洞类型之一，log4j2、fastj...

04月09日59 views评论

阅读全文

安全文章

C3P0 反序列化链 & 不出网利用

C3P0 反序列化链 & 不出网利用前言看一下目录:声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。分析过程ysoseri...

03月17日16 views评论

阅读全文

HW面经1

在项目上，漏洞扫描需要注意那些事项跟客户确认是否充许登录扫描、扫描并发连接数及线程数、是否充许暴力破**解，什么时间段**扫描、通知客户备份一下数据，开启业务系统及网站运维监控，以免断机可及时恢复。谈...

03月10日安全职场21 views评论

阅读全文

JAVA 反序列化学习笔记

1. 概述Java 反序列化是将字节流转换回对象的过程，通常用于网络传输或持久化存储。Java 提供了 ObjectOutputStream 和 ObjectInputStream 类来实现序列化和反...

03月05日代码审计14 views评论

阅读全文

安全文章

《URLDNS调试那些小事》

URLDNS调试那些小事近期在看javaweb相关的知识，ysoserial作为反序列化利用链的神器，想稍微利用它来调试一个简单的urldns利用链，进而了解这个工具。ysoserial链接：下载地址...

02月26日25 views评论

阅读全文

代码审计

入坑Java安全之关于反序列化这件事

声明：本公众号文章来自作者日常学习笔记或授权后的网络转载，切勿利用文章内的相关技术从事任何非法活动，因此产生的一切后果与文章作者和本公众号无关！0x00 前言这篇文章主要就是聊聊Java反序列化，本来...

02月15日19 views评论

阅读全文

安全文章

【yso】 - URLDNS反序列化分析

前言gadget分析触发过程 POC测试代码 HashMap HashMap的原理设置新键值对读取key的value 反序列化过...

12月17日6 views评论

阅读全文

基于动态Agent挖掘更多的反序列化入口

前言分享下最近Java GC检测工作的相关收获（其实也是为了证明某些链不是误报而绞尽脑汁，主要依靠Java的动态Agent技术修改writeObject流程好用的ArrayTable你是否还在为了想用...

12月04日安全文章8 views评论

阅读全文

代码审计

JAVA安全-反序列化系列-CC6(无依赖链)分析

免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号菜狗安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，会立即删除...

12月02日7 views评论

阅读全文

代码审计

7.DataContractSerializer反序列化点以及相关链

1.DataContractSerializer的使用一个功能和用法都很像XmlSerializer的方法。先用软子的官方文档的代码来学习一下。我们先写一个类注意这个类上面要加上[DataContra...

10月18日21 views评论

阅读全文

代码审计-反序列化CC链

Java利用链URLDNS分析及利用

反序列化漏洞原理剖析：从攻击到防御

C3P0 反序列化链 & 不出网利用

HW面经1

JAVA 反序列化学习笔记

《URLDNS调试那些小事》

入坑Java安全之关于反序列化这件事

【yso】 - URLDNS反序列化分析

基于动态Agent挖掘更多的反序列化入口

JAVA安全-反序列化系列-CC6(无依赖链)分析

7.DataContractSerializer反序列化点以及相关链

在线咨询

微信