这个洞的cve编号：CVE-2017-17485，漏洞环境就如第一个链接那样，jdk需要在jdk 1.8以上。 先看一下Jackson-databind的用法，说白了就是将json转换成对象。 test-legit.json代码如下 运行结果如图： 如果注入的json代码如下代码，就会引入 ...

，按F7进入当前函数： 跳过几次赋值，进入到当前函数，发现次函数中存在反序列化的赋值，按F7进行调试 ...

[CVE-2020-1948] Apache Dubbo 反序列化漏洞分析 简介 Dubbo 是一款高性能、轻量级的开源 Java RPC 框架，它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡，以及服务自动注册和发现。 POC https ...

记一次RabbitMQ，使用Jackson反序列化的报错； 报错： 先上代码： RabbitMQ的配置类就不上了，基本配置 生产者： 消费者： 分析 还是没找到原因，主要应该是反序列化失败，我修改了监听端的参数，接收Message对象，手动getBody，就可以接收到数据 ...

前几天weblogic 7月例行更新中，修复了一个Rce漏洞。该漏洞性质属于绕过之前的反序列化漏洞补丁。要了解这个漏洞的原因，我们首先要学习其他几个漏洞的原理。 一 weblogic 反序列化绕过指南 本章节只是大概讲解一下如何绕过weblogic反序列化漏洞的补丁。 序列化和反序列化 ...

0x00 apache ofbiz介绍 OFBiz是一个非常著名的电子商务平台，是一个非常著名的开源项目，提供了创建基于最新J2EE/XML规范和技术标准，构建大中型企业级、跨平台、跨数据库、跨应用 ...

消费者远程调用的POST请求并执行一个反序列化的操作。由于此步骤没有任何安全校验，因此可以造成反序列化执行 ...

tomcat session持久化 简介 对 于一个企业级应用而言，Session对象的管理十分重要。Sessio对象的信息一般情况下置于服务器的内存中，当服务器由于故障重启，或应用重新加载 时候，此时的Session信息将全部丢失。为了避免这样的情况，在某些场合可以将服务器的Session ...