基礎知識 MQ(Message Queue)：消息隊列/消息中間件。消息服務將消息放在隊列／主題中，在合適時候發給接收者。發送和接收是異步的（發送者和接收者的生命周期沒有必然關系）。 隊列： ...

Apache ActiveMQ序列化漏洞(CVE-2015-5254)復現 一、漏洞描述 該漏洞源於程序沒有限制可在代理中序列化的類。遠程攻擊者可借助特制的序列化的java消息服務(JMS)ObjectMessage對象利用該漏洞執行任意代碼。 二、漏洞影響版本 Apache ...

ActiveMQ 反序列化漏洞(CVE-2015-5254) 漏洞詳情 ActiveMQ啟動后，將監聽61616和8161兩個端口，其中消息在61616這個端口進行傳遞，使用ActiveMQ這個中間件的程序也通過這個端口工作，8161是Web服務的端口，通過Web頁面可管理ActiveMQ ...

JBOSS反序列化漏洞 環境: vulfocus jboss CVE-2015-7501 雲服務器 kali攻擊機 基本原理:JBoss在/invoker/JMXInvokerServlet請求中讀取了用戶傳入的對象，可以通過Apache Commons ...

基礎知識 WebLogic是Orcale出品的一個application server，是J2EE構架中的一部分，具體構架如下(圖片來源：https://www.bilibili.com/video/av53746375?p=1) 漏洞原理 遠程攻擊者可利用該漏洞在未授權的情況下 ...

01漏洞描述 — Apache Dubbo支持多種協議,官方推薦使用Dubbo協議.Apache Dubbo HTTP協議中的一個反序列化漏洞（CVE-2019-17564）,該漏洞的主要原因在於當Apache Dubbo啟用HTTP協議之后，Apache Dubbo對消 ...

CVE-2016-7124php反序列化漏洞復現 0X00漏洞原因 如果存在__wakeup方法，調用 unserilize() 方法前則先調用__wakeup方法，但是序列化字符串中表示對象屬性個數的值大於 真實的屬性個數時會跳過__wakeup的執行 0X01漏洞影響版本 PHP5 ...

漏洞描述 Apache Shiro是一個Java安全框架，執行身份驗證、授權、密碼和會話管理。只要rememberMe的AES加密密鑰泄露，無論shiro是什么版本都會導致反序列化漏洞。 漏洞原理 Apache Shiro框架提供了記住我（RememberMe）的功能，關閉了瀏覽器下次再打 ...