readobject | CN-SEC 中文网

安全百科

反序列化漏洞原理剖析：从攻击到防御

点击上方蓝字关注我们在安全测试中，反序列化漏洞（Deserialization Vulnerability）因其高危害性和隐蔽性，成为近年来攻击者利用的最为频繁的漏洞类型之一，log4j2、fastj...

04月09日12 views评论

阅读全文

安全文章

C3P0 反序列化链 & 不出网利用

C3P0 反序列化链 & 不出网利用前言看一下目录:声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。分析过程ysoseri...

03月17日8 views评论

阅读全文

HW面经1

在项目上，漏洞扫描需要注意那些事项跟客户确认是否充许登录扫描、扫描并发连接数及线程数、是否充许暴力破**解，什么时间段**扫描、通知客户备份一下数据，开启业务系统及网站运维监控，以免断机可及时恢复。谈...

03月10日安全职场13 views评论

阅读全文

JAVA 反序列化学习笔记

1. 概述Java 反序列化是将字节流转换回对象的过程，通常用于网络传输或持久化存储。Java 提供了 ObjectOutputStream 和 ObjectInputStream 类来实现序列化和反...

03月05日代码审计9 views评论

阅读全文

安全文章

《URLDNS调试那些小事》

URLDNS调试那些小事近期在看javaweb相关的知识，ysoserial作为反序列化利用链的神器，想稍微利用它来调试一个简单的urldns利用链，进而了解这个工具。ysoserial链接：下载地址...

02月26日15 views评论

阅读全文

代码审计

入坑Java安全之关于反序列化这件事

声明：本公众号文章来自作者日常学习笔记或授权后的网络转载，切勿利用文章内的相关技术从事任何非法活动，因此产生的一切后果与文章作者和本公众号无关！0x00 前言这篇文章主要就是聊聊Java反序列化，本来...

02月15日12 views评论

阅读全文

安全文章

【yso】 - URLDNS反序列化分析

前言gadget分析触发过程 POC测试代码 HashMap HashMap的原理设置新键值对读取key的value 反序列化过...

12月17日2 views评论

阅读全文

基于动态Agent挖掘更多的反序列化入口

前言分享下最近Java GC检测工作的相关收获（其实也是为了证明某些链不是误报而绞尽脑汁，主要依靠Java的动态Agent技术修改writeObject流程好用的ArrayTable你是否还在为了想用...

12月04日安全文章5 views评论

阅读全文

代码审计

JAVA安全-反序列化系列-CC6(无依赖链)分析

免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号菜狗安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，会立即删除...

12月02日4 views评论

阅读全文

代码审计

7.DataContractSerializer反序列化点以及相关链

1.DataContractSerializer的使用一个功能和用法都很像XmlSerializer的方法。先用软子的官方文档的代码来学习一下。我们先写一个类注意这个类上面要加上[DataContra...

10月18日19 views评论

阅读全文

代码审计

九维团队-绿队（改进）| JAVA反序列化用法科普

一介绍java反序列化是将对象从字节流转换回对象的过程。在Java中，可以使用对象输出流来将Java对象序列化为字节流，并使用对象输入流将字节流反序列化为Java对象。反序列化的过程是在Java虚拟机...

10月18日8 views评论

阅读全文

代码审计

2.BinaryFormatter反序列化点+几个链子

1.关于BinaryFormatter其实非要说的话，BinaryFormatter才是.NET里最经典的序列化与反序列化相关类，从名字就可以看出来，这玩意大概是用来把对象序列化成二进制数据或者把二进...

10月16日11 views评论

阅读全文

反序列化漏洞原理剖析：从攻击到防御

C3P0 反序列化链 & 不出网利用

HW面经1

JAVA 反序列化学习笔记

《URLDNS调试那些小事》

入坑Java安全之关于反序列化这件事

【yso】 - URLDNS反序列化分析

基于动态Agent挖掘更多的反序列化入口

JAVA安全-反序列化系列-CC6(无依赖链)分析

7.DataContractSerializer反序列化点以及相关链

九维团队-绿队（改进）| JAVA反序列化用法科普

2.BinaryFormatter反序列化点+几个链子

在线咨询

微信