作者：Cryin 链接：https://www.zhihu.com/question/37562657/answer/327040570 刚好对java反序列化漏洞进行过详细的分析和研究，写过一篇文章应用安全:JAVA反序列化漏洞之殇，可以参考～详细如下～ 概述 ...

1、首先下载常用的工具ysoserial 这边提供下载地址：https://jitpack.io/com/github/frohoff/ysoserial/master-v0.0.5-gb617b7 ...

摘要：在本文中将先介绍java反序列化漏洞的原理，然后在此基础上介绍安全工具如何检测、扫描此类漏洞。 本文分享自华为云社区《java反序列化漏洞及其检测》，作者： alpha1e0。 1 java反序列化简介 java反序列化是近些年安全业界研究的重点领域之一，在Apache ...

目录 信息收集 poc 参考 信息收集 poc /tmp/payload.cookie 替换发包的rememberMe=X 参考 h ...

验证身份的请求时，Shiro将会对RememberMe解码，解密，反序列化以读取用户身份，问题出在Sh ...

本文首发于“合天智汇”公众号 作者：Fortheone 前言 最近学习java反序列化学到了weblogic部分，weblogic之前的两个反序列化漏洞不涉及T3协议之类的，只是涉及到了XMLDecoder反序列化导致漏洞，但是网上大部分的文章都只讲到了触发XMLDecoder部分就结束 ...

1）下载与当前大版本相同的commons-collections包（原来是3.2.x就替换为3.2.2，原来是4.x就替换为4.4.1） 下载链接：http://commons.apache.org ...

2、用户将能够检测不安全的反序列化漏洞 3、用户将能够利用不安全的反序列化漏洞 反序列化的利用在其他编 ...