前言 研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化和反序列化的学习。 大致内容如下: 序列化和反序列化示例 序列化数据组成解构 反序列化漏洞形成...
反序列化漏洞的防御与拒绝服务
最近两个月我一直在做拒绝服务漏洞相关的时间,并收获了Spring和Weblogic的两个CVE(还有一些报告也许正在审核和修复中)但DoS漏洞终归是鸡肋洞,并没有太大的意义,比如之前有人说我只会水垃圾...
JAVA中的那些流 你知道么
字节输出流FileOutputStream(String name) 创建一个向具有指定名称的文件中写入数据的输出文件流FileOutputStream(file file) 创建一个向指定file对...
Java反序列化流程总结
0x01 写在前面同前一篇的分析方法一样,推荐复制demo代码,然后一步一步跟随笔者的分析进行debug调试跟随,这样跟能够帮助读者理解此文。0x02 流程分析在上一篇《 序列化流程分析总结》一文中我...
2