Java安全之Dubbo反序列化漏洞分析
Java安全之Dubbo反序列化漏洞分析 0x00 前言 最近天气冷,懒癌又犯了,加上各种项目使得本篇文断断续续。 0x01 Dubbo 概述 Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC(一种远程调用) 分布式服务框架(SOA),致力于提供高性能和透明化的RPC远程服务 ...
原文:Java安全之Fastjson反序列化漏洞分析
Java安全之Fastjson反序列化漏洞分析 首发:先知论坛 x 前言 在前面的RMI和JNDI注入学习里面为本次的Fastjson打了一个比较好的基础。利于后面的漏洞分析。 x Fastjson使用 在分析漏洞前,还需要学习一些Fastjson库的简单使用。 Fastjson概述 FastJson是啊里巴巴的的开源库,用于对JSON格式的数据进行解析和打包。其实简单的来说就是处理json格式的 ...
2021-03-31 15:25 2 1044 推荐指数:
相关推荐
Java安全之Cas反序列化漏洞分析
Java安全之Cas反序列化漏洞分析 0x00 前言 某次项目中遇到Cas,以前没接触过,借此机会学习一波。 0x01 Cas 简介 CAS 是 Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG ...
Java安全之JBoss反序列化漏洞分析
Java安全之JBoss反序列化漏洞分析 0x00 前言 看到网上的Jboss分析文章较少,从而激发起了兴趣。前段时间一直沉迷于工具开发这块,所以打算将jboss系列反序列化漏洞进行分析并打造成GUI的工具集。当然反序列化回显这块也是需要解决的一大问题之一,所以下面会出一系列文章对该漏洞的分析 ...
Fastjson反序列化漏洞利用分析
Fastjson反序列化漏洞利用分析 背景 在推动Fastjson组件升级的过程中遇到一些问题,为帮助业务同学理解漏洞危害,下文将从整体上对其漏洞原理及利用方式做归纳总结,主要是一些概述性和原理上的东西。 漏洞原理 多个版本的Fastjson组件在反序列化不可信数据时会导致代码执行 ...
最新fastjson反序列化漏洞分析
来源于:https://blog.csdn.net/systemino/article/details/98188007 前言 写的有点多,可能对师傅们来说比较啰嗦,不过这么写完感觉自己也就明白了 poc newPoc.java ...
Fastjson反序列化漏洞利用分析
Fastjson反序列化漏洞利用分析 背景 在推动Fastjson组件升级的过程中遇到一些问题,为帮助业务同学理解漏洞危害,下文将从整体上对其漏洞原理及利用方式做归纳总结,主要是一些概述性和原理上的东西。 漏洞原理 多个版本的Fastjson组件在反序列化不可信数据时会导致代码执行 ...
Fastjson反序列化漏洞
Fastjson 远程代码扫描漏洞复现 环境搭建 1)反序列化攻击工具源码下载:https://github.com/mbechler/marshalsec 使用maven命令:mvn clean package -DskipTests 编译成.jar文件 启动(默认端口1389 ...
Java安全之Shiro 550反序列化漏洞分析
Java安全之Shiro 550反序列化漏洞分析 首发自安全客:Java安全之Shiro 550反序列化漏洞分析 0x00 前言 在近些时间基本都能在一些渗透或者是攻防演练中看到Shiro的身影,也是Shiro的该漏洞也是用的比较频繁的漏洞。本文对该Shiro550 反序列化漏洞进行一个分析 ...