readobject - 第 3 | CN-SEC 中文网

安全漏洞

用友NC6.5 XbrlPersistenceServlet.class 反序列化漏洞分析及复现

环境配置l 系统：Winserver2008Rl 数据库：Oracle11Gl JDK：java 1.7.0_51l 复现版本：用友NC6.5源码分析Jar包所在目录为：/yonyouNC6.5/mo...

11月22日172 views评论

阅读全文

代码审计

JAVA反序列化系列第一课：URLDNS链全解

哈喽小伙伴们，好长时间没有更新了，因为我们实验室的师傅们都比较忙，本人也刚转型去做数据安全方面，但是大家不用担心，建立实验室的初心我们会一直守护下去，那...

10月29日31 views评论

阅读全文

安全文章

Mysql JDBC反序列化

明天要面试，不想复习啊。之前不怎么学习这个漏洞。但是最近被问了两次，而且后来我发现不同类型数据库的反序列化漏洞还挺多的。看了看资料略写写还算简单。主要是分析反序列化部分，CC链部分不管，mysql协议...

10月26日22 views评论

阅读全文

代码审计

Java反序列化漏洞基础知识 | 干货

基础知识 java序列化把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中，ObjectOutputStream类的 writeObject() 方法可以实现序列化。java反序列化...

05月27日45 views评论

阅读全文

代码审计

【java安全】从0到1--第4章

点击蓝字关注我们微信搜一搜暗魂攻防实验室知识点1、JavaEE-反序列化-解释&使用&安全2、JavaEE-安全-利用链&直接重写方法3、JavaEE-安全-利用链&外...

05月25日38 views评论

阅读全文

代码审计

JAVA反序列化初食

基本常识序列化类实例->字节流反序列化字节流->类实例序列化时自动调用 writeObject反序列化 readObject类要实现序列化应满足的条件实现java.io.Seriali...

05月17日39 views评论

阅读全文

安全文章

Weblogic安全漫谈（四）

黑名单机制必然会推动两种研究方向的发展：一是挖掘不在黑名单的新组件，是为绕过规则；二是发掘检查的盲区，是为绕过逻辑。CVE-2020-14756二次反序列化具有对抗检查逻辑的天生丽质，在CVE-201...

04月17日32 views评论

阅读全文

安全文章

hutool XML反序列化漏洞(CVE-2023-24162)

漏洞简介　　Hutool 中的XmlUtil.readObjectFromXml方法直接封装调用XMLDecoder.readObject解析xml数据，当使用 readObjectFromXml ...

03月06日138 views评论

阅读全文

代码审计

java不安全的反序列化

什么是反序列化序列化，是指将内存中的某个对象压缩成字节流的形式，而反序列化，则是将字节流转化成内存中的对象。Java序列化和反序列化处理是基于Java框架的Web应用中比较重要的功能。因为在网络中，无...

03月04日68 views评论

阅读全文

安全漏洞

CVE-2022-28219 ZOHO ManageEngine ADAudit Plus XXE到RCE

免责声明本公众号仅用于技术交流与学习，利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本公众号只是知识的搬运工，取之于...

01月23日39 views评论

阅读全文

代码审计

JAVA安全|Gadget篇：无JDK版本限制的CC6链

0x00 前言 JAVA安全系列文章主要为了回顾之前学过的java知识，构建自己的java知识体系，并实际地将java用起来，达到熟练掌握ja...

01月11日125 views评论

阅读全文

安全文章

填坑：Externalizable、readUnshared

一、Externalizable它的源码如下public interface Externalizable extends java.io.Serializable { /** * The objec...

01月09日53 views评论

阅读全文

在线咨询

微信