本文首發於“合天智匯”公眾號 作者：Fortheone 前言 最近學習java反序列化學到了weblogic部分，weblogic之前的兩個反序列化漏洞不涉及T3協議之類的，只是涉及到了XMLDecoder反序列化導致漏洞，但是網上大部分的文章都只講到了觸發XMLDecoder部分就結束 ...

2、用戶將能夠檢測不安全的反序列化漏洞 3、用戶將能夠利用不安全的反序列化漏洞 反序列化的利用在其他編 ...

ref:https://xz.aliyun.com/t/2043 小結： 3.2.2版本之前的Apache-CommonsCollections存在該漏洞（不只該包）1.漏洞觸發場景 在java編寫的web應用與web服務器間java通常會發送大量的序列化對象例如以下場景：　　1)HTTP請求 ...

　　2015年11月6日，FoxGlove Security安全團隊的@breenmachine 發布的一篇博客[3]中介紹了如何利用Java反序列化漏洞，來攻擊最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS這些大名鼎鼎的Java應用，實現遠程代碼執行 ...

作者：Cryin 鏈接：https://www.zhihu.com/question/37562657/answer/327040570 剛好對java反序列化漏洞進行過詳細的分析和研究，寫過一篇文章應用安全:JAVA反序列化漏洞之殤，可以參考～詳細如下～ 概述 ...

Java安全之Dubbo反序列化漏洞分析 0x00 前言 最近天氣冷，懶癌又犯了，加上各種項目使得本篇文斷斷續續。 0x01 Dubbo 概述 Dubbo是阿里巴巴開源的基於 Java 的高性能 RPC（一種遠程調用） 分布式服務框架（SOA），致力於提供高性能和透明化的RPC遠程服務 ...

一、Java反序列化漏洞的挖掘 1、黑盒流量分析： 在Java反序列化傳送的包中，一般有兩種傳送方式，在TCP報文中，一般二進制流方式傳輸，在HTTP報文中，則大多以base64傳輸。因而在流量中有一些特征： （1）TCP：必有aced0005，這個16進制流基本上也意味者java反序列化 ...

目錄 前言 什么是序列化和反序列化 序列化有什么用 Java反序列化類型 1、 Java原生序列化 2、 Json反序列化 3、 Fastjson反序列化 ...