tream - 第 2 | CN-SEC 中文网

安全文章

Github投毒分析

今天看到团队有兄弟说github上有个exp像是有问题，刚刚就给他下载下来看了看了一下，以下是分析过程（不会逆向，正在学习，简单的看一下，不一定对）：先把东西下载下来，发现有一堆文件，其中有个jar包...

08月20日23 views评论

阅读全文

安全博客

Fastjson 68 commons-io AutoCloseable

前言今天长亭公众号发了一个 fastjson commons-io AutoCloseable 的利用，正好我最近也在分析这个，看了一下，有相同的地方也有不同地方，那我也发出来一起学习交流吧。我这...

05月25日27 views评论

阅读全文

代码审计

反序列化漏洞的防御与拒绝服务

哆啦安全，赞 7 最近两个月我一直在做拒绝服务漏洞相关的时间，并收获了Spring和Weblogic的两个CVE（还有一些报告也许正在审核和修复中）但DoS漏洞终归是鸡肋洞，并没有太大的意义，比如之...

03月18日35 views已关闭评论

阅读全文

安全文章

Java安全中Groovy组件从反序列化到命令注入及绕过和在白盒中的排查方法

反序列化Groovy : 1.7.0-2.4.3AnnotationInvocationHandler.readObject() Map.entrySet() (Proxy) ConversionHa...

01月09日124 views评论

阅读全文

安全博客

Fastjson 68 commons-io AutoCloseable

01月01日12 views评论

阅读全文

代码审计

Java代码审计之-IO小记

I/O（input/output）流，即输入输出流。定义在java.io包中。分类：1、字节流和字符流----数据单位不同2、输入流和输出流----传输方向不同3、节点流和处理流----功能不同节点流...

12月19日17 views评论

阅读全文

SecIN安全技术社区

初识Java反序列化

前言研究某产品反序列化EXP时，搜集到的POC只有一段16进制字节序列难以利用，遂有下文对Java序列化和反序列化的学习。大致内容如下：序列化和反序列化示例序列化数据组成解构反序列化漏洞形成...

06月30日78 views已关闭评论

阅读全文

代码审计

反序列化漏洞的防御与拒绝服务

最近两个月我一直在做拒绝服务漏洞相关的时间，并收获了Spring和Weblogic的两个CVE（还有一些报告也许正在审核和修复中）但DoS漏洞终归是鸡肋洞，并没有太大的意义，比如之前有人说我只会水垃圾...

05月01日186 views评论

阅读全文

JAVA中的那些流你知道么

字节输出流FileOutputStream(String name) 创建一个向具有指定名称的文件中写入数据的输出文件流FileOutputStream(file file) 创建一个向指定file对...

04月13日安全开发22 views评论

阅读全文

代码审计

Java反序列化流程总结

0x01 写在前面同前一篇的分析方法一样，推荐复制demo代码，然后一步一步跟随笔者的分析进行debug调试跟随，这样跟能够帮助读者理解此文。0x02 流程分析在上一篇《序列化流程分析总结》一文中我...

06月14日118 views评论

阅读全文

Github投毒分析

Fastjson 68 commons-io AutoCloseable

反序列化漏洞的防御与拒绝服务

Java安全中Groovy组件从反序列化到命令注入及绕过和在白盒中的排查方法

Fastjson 68 commons-io AutoCloseable

Java代码审计之-IO小记

初识Java反序列化

反序列化漏洞的防御与拒绝服务

JAVA中的那些流你知道么

Java反序列化流程总结

在线咨询

微信