本文首发于“合天智汇”公众号 作者：Fortheone 前言 最近学习java反序列化学到了weblogic部分，weblogic之前的两个反序列化漏洞不涉及T3协议之类的，只是涉及到了XMLDecoder反序列化导致漏洞，但是网上大部分的文章都只讲到了触发XMLDecoder部分就结束 ...

2、用户将能够检测不安全的反序列化漏洞 3、用户将能够利用不安全的反序列化漏洞 反序列化的利用在其他编 ...

ref:https://xz.aliyun.com/t/2043 小结： 3.2.2版本之前的Apache-CommonsCollections存在该漏洞（不只该包）1.漏洞触发场景 在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景：　　1)HTTP请求 ...

　　2015年11月6日，FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞，来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用，实现远程代码执行 ...

作者：Cryin 链接：https://www.zhihu.com/question/37562657/answer/327040570 刚好对java反序列化漏洞进行过详细的分析和研究，写过一篇文章应用安全:JAVA反序列化漏洞之殇，可以参考～详细如下～ 概述 ...

Java安全之Dubbo反序列化漏洞分析 0x00 前言 最近天气冷，懒癌又犯了，加上各种项目使得本篇文断断续续。 0x01 Dubbo 概述 Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC（一种远程调用） 分布式服务框架（SOA），致力于提供高性能和透明化的RPC远程服务 ...

一、Java反序列化漏洞的挖掘 1、黑盒流量分析： 在Java反序列化传送的包中，一般有两种传送方式，在TCP报文中，一般二进制流方式传输，在HTTP报文中，则大多以base64传输。因而在流量中有一些特征： （1）TCP：必有aced0005，这个16进制流基本上也意味者java反序列化 ...

目录 前言 什么是序列化和反序列化 序列化有什么用 Java反序列化类型 1、 Java原生序列化 2、 Json反序列化 3、 Fastjson反序列化 ...