更新：2020_01_28 介绍：fastjson是一个Java语言编写的高性能功能完善的JSON库。 漏洞原因： checkAutoType黑名单中可绕过 检测方法： 第一种： json数据{"age":"25","name":"2"}，回显正常 {"age":"25 ...

介绍：Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 漏洞原因：因为shiro对cookie里的rememberme字段进行了反序列化，所以如果知道了shiro的编码方式，然后将恶意命令用它的编码方式进行编码并放在http头的cookie ...

漏洞介绍 漏洞类型 ：JAVA反序列化（RCE） 影响版本 ：Apache Shiro 1.2.4及其之前版本 漏洞评级 ：高危 漏洞分析 #： 下载漏洞环境： 工具下载 该漏洞在传输中使用了AES CBC加密和Base64编码 ...

=hessian encode ; Test r =(Test)hessian decode } } ...

先聊聊 Java的序列化，Java官方的序列化和反序列化的实现被太多人吐槽，这得归于Java官方序列化实现的方式。 1、Java序列化的性能经常被吐槽。2、Java官方的序列化后的数据相对于一些优秀的序列化的工具，还是要大不少，比如probuf，这大大影响存储和传输的效率。3、Java序列化一定 ...

weblogic WLS 反序列化漏洞学习 鸣谢 感谢POC和分析文档的作者-绿盟大佬=>liaoxinxi；感谢群内各位大佬及时传播了分析文档，我才有幸能看到。 ## 漏洞简介 ## *** + 漏洞威胁：RCE--远程代码执行 + 漏洞组件：weblogic + 影响 ...

​ (CVE-2020-7961)Liferay Portal RCE 反序列化命令执行漏洞 一、漏洞描述 Liferay Portal CE是一款用来快速构建网站的开源系统。其7.2.0 GA1及以前的版本API接口中存在一处反序列化漏洞，利用该漏洞可在目标服务器上执行任意命令 ...

原理：未对用户输入的序列化字符串进行检测，导致攻击者可以控制反序列化过程，从而导致代码执行，SQL注入，目录遍历等不可控后果。 在反序列化的过程中自动触发了某些魔术方法。 漏洞触发条件：unserialize函数的变量可控，php文件中存在可利用的类，类中有魔术方法 魔术方法 ...