xstream | CN-SEC 中文网

安全文章

Java XStream 反序列化：Gadget 挖掘思路分享

目录一、前言二、XStream简介三、历史漏洞四、Gadget挖掘思路五、总结一前言Java语言中最常见的一类漏洞就是反序列化漏洞，在各种数据格式到Java对象的转化过程中，常常...

02月11日23 views评论

阅读全文

安全文章

复现CVE-2021-21351

声明：文章仅供学习和参考，出现一切违法违纪行为，概不负责。0x01 XStream是什么？XStream是JAVA的一个库，用来将对象序列化为XML，或将XML反序列化为对象0x02 影响范围XStr...

11月21日11 views评论

阅读全文

安全漏洞

XStream栈溢出漏洞

0x00 漏洞编号CVE-2024-470720x01 危险等级高危0x02 漏洞概述XStream是一个用于在Java对象和XML之间相互转换的工具，它能够将Java对象序列化为XML或JSON格式...

11月21日26 views评论

阅读全文

安全文章

SRC挖掘 | 文件下载漏洞getshell

之前挖到的文件下载漏洞，重新审计了一遍，发现了可以getshell的漏洞点，现在再写一篇文章分享漏洞思路。文件下载漏洞有恒，公众号：有恒安全一次文件下载漏洞获取源代码审计0、漏洞回顾1、代码审计查看导...

11月11日12 views评论

阅读全文

安全漏洞

XStream 二进制流驱动导致的堆栈溢出拒绝服务漏洞（CVE-2024-47072）

XStream 是一个流行的 Java 序列化库，广泛用于将对象转换为 XML 或 JSON 格式，以及从这些格式反序列化对象。XStream 提供了一个优化的二进制序列化格式，通过 BinarySt...

11月10日79 views评论

阅读全文

安全漏洞

Xstream Project Xstream栈溢出漏洞可致拒绝服务

漏洞描述:XStream发布安全公告,修复了一处栈溢出漏洞,当XStream配置为使用BinaryStreamDriver时,远程攻击者可通过操纵输入流使应用程序因栈溢出错误终止,造成拒绝服务,官方已...

11月08日26 views评论

阅读全文

XStream拒绝服务漏洞（CVE-2024-47072）

一、漏洞概述漏洞名称 XStream拒绝服务漏洞CVE IDCVE-2024-47072漏洞类型栈溢出、Dos发现时间2024-11-08漏洞评分7.5漏洞等级高危攻击向量网络所需权限无利用难...

11月08日安全新闻91 views评论

阅读全文

安全博客

XStream反序列化

XStream反序列化XStream简介XStream是一个简单的基于Java库，Java对象序列化到XML，反之亦然(即：可以轻易的将Java对象和xml文档相互转换)。反序列化基本原理XStrea...

10月29日10 views评论

阅读全文

安全工具

ysoserial反序列化图形利用工具

工具简介 ysoserial 图形化，探测 gadget，TomcatEcho，命令执行，冰蝎，哥斯拉内存马注入，加载字节码等。如果对您有帮助，感觉不错的话，请您给个大大的 ⭐️❗️版本更新 V1.1...

10月23日28 views评论

阅读全文

安全文章

一场XStream的偶遇

0x-1开幕暴击本文为xstream&java新手的总结文章，有不足和错误之处请大师父们及时指正，谢谢！放个总目录方便大家知道写的什么：0x00了解Xstream这玩意跟fas...

09月28日29 views评论

阅读全文

安全工具

Jeecg 框架漏洞利用工具

在一次针对 jeecg 框架的渗透测试中，我使用了这个工具来执行登录绕过的检测。通过简单几步操作，我就可以快速验证应用是否存在这个常见漏洞。而且，这个工具运行起来也十分方便，只需在jdk11环境下执行...

09月26日41 views评论

阅读全文

安全文章

xstream反序列化漏洞打内存马

xstream组件还是用的比较多的。实战当中也有很多xstrem漏洞引发的RCE漏洞案例如下图所示使用xstream对可控数据进行反序列化使用xslt链内存马攻击成功原文始发于微信公众号（代码审计St...

09月23日30 views评论

阅读全文

在线咨询

微信