readobject - 第 3 | CN-SEC 中文网

安全文章

Mysql JDBC反序列化

明天要面试，不想复习啊。之前不怎么学习这个漏洞。但是最近被问了两次，而且后来我发现不同类型数据库的反序列化漏洞还挺多的。看了看资料略写写还算简单。主要是分析反序列化部分，CC链部分不管，mysql协议...

10月26日20 views评论

阅读全文

代码审计

Java反序列化漏洞基础知识 | 干货

基础知识 java序列化把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中，ObjectOutputStream类的 writeObject() 方法可以实现序列化。java反序列化...

05月27日41 views评论

阅读全文

代码审计

【java安全】从0到1--第4章

点击蓝字关注我们微信搜一搜暗魂攻防实验室知识点1、JavaEE-反序列化-解释&使用&安全2、JavaEE-安全-利用链&直接重写方法3、JavaEE-安全-利用链&外...

05月25日37 views评论

阅读全文

代码审计

JAVA反序列化初食

基本常识序列化类实例->字节流反序列化字节流->类实例序列化时自动调用 writeObject反序列化 readObject类要实现序列化应满足的条件实现java.io.Seriali...

05月17日36 views评论

阅读全文

安全文章

Weblogic安全漫谈（四）

黑名单机制必然会推动两种研究方向的发展：一是挖掘不在黑名单的新组件，是为绕过规则；二是发掘检查的盲区，是为绕过逻辑。CVE-2020-14756二次反序列化具有对抗检查逻辑的天生丽质，在CVE-201...

04月17日30 views评论

阅读全文

安全文章

hutool XML反序列化漏洞(CVE-2023-24162)

漏洞简介　　Hutool 中的XmlUtil.readObjectFromXml方法直接封装调用XMLDecoder.readObject解析xml数据，当使用 readObjectFromXml ...

03月06日117 views评论

阅读全文

代码审计

java不安全的反序列化

什么是反序列化序列化，是指将内存中的某个对象压缩成字节流的形式，而反序列化，则是将字节流转化成内存中的对象。Java序列化和反序列化处理是基于Java框架的Web应用中比较重要的功能。因为在网络中，无...

03月04日59 views评论

阅读全文

安全漏洞

CVE-2022-28219 ZOHO ManageEngine ADAudit Plus XXE到RCE

免责声明本公众号仅用于技术交流与学习，利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本公众号只是知识的搬运工，取之于...

01月23日36 views评论

阅读全文

代码审计

JAVA安全|Gadget篇：无JDK版本限制的CC6链

0x00 前言 JAVA安全系列文章主要为了回顾之前学过的java知识，构建自己的java知识体系，并实际地将java用起来，达到熟练掌握ja...

01月11日124 views评论

阅读全文

安全文章

填坑：Externalizable、readUnshared

一、Externalizable它的源码如下public interface Externalizable extends java.io.Serializable { /** * The objec...

01月09日48 views评论

阅读全文

安全文章

Weblogic Analysis Attacked by T3 Protocol From CVE (part 3)

前言继续抽空学习Weblogic CVE中有关T3协议的漏洞利用方式！环境搭建和前面的过程类似 T3+JRMP利用 CVE-2018-2628 原理这个CVE也就是前面的一种绕过，前面是在pa...

11月04日15 views评论

阅读全文

代码审计

Java安全｜URLDNS链利用分析

java反射机制什么是java反射Java反射机制是在运行状态时，对于任意一个类，都能够获取到这个类的所有属性和方法；对于任意一个对象，都能够调用它的任意一个方法和属性(包括私有的方法和属性)，这种动...

10月19日34 views评论

阅读全文

在线咨询

微信