本文首发于“合天智汇”公众号 作者：Fortheone 前言 最近学习java反序列化学到了weblogic部分，weblogic之前的两个反序列化漏洞不涉及T3协议之类的，只是涉及到了XMLDecoder反序列化导致漏洞，但是网上大部分的文章都只讲到了触发XMLDecoder部分就结束 ...

2、用户将能够检测不安全的反序列化漏洞 3、用户将能够利用不安全的反序列化漏洞 反序列化的利用在其他编 ...

ref:https://xz.aliyun.com/t/2043 小结： 3.2.2版本之前的Apache-CommonsCollections存在该漏洞（不只该包）1.漏洞触发场景 在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景：　　1)HTTP请求 ...

　　2015年11月6日，FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞，来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用，实现远程代码执行 ...

WebSphere的反序列化漏洞发生的位置在SOAP的通信端口8880，使用的通信协议是https，发送的数据是XML格式的数据。 ...

作者：Cryin 链接：https://www.zhihu.com/question/37562657/answer/327040570 刚好对java反序列化漏洞进行过详细的分析和研究，写过一篇文章应用安全:JAVA反序列化漏洞之殇，可以参考～详细如下～ 概述 ...

Java安全之Dubbo反序列化漏洞分析 0x00 前言 最近天气冷，懒癌又犯了，加上各种项目使得本篇文断断续续。 0x01 Dubbo 概述 Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC（一种远程调用） 分布式服务框架（SOA），致力于提供高性能和透明化的RPC远程服务 ...

原理：未对用户输入的序列化字符串进行检测，导致攻击者可以控制反序列化过程，从而导致代码执行，SQL注入，目录遍历等不可控后果。 在反序列化的过程中自动触发了某些魔术方法。 漏洞触发条件：unserialize函数的变量可控，php文件中存在可利用的类，类中有魔术方法 魔术方法 ...