本文首發於“合天網安實驗室” 作者： S1mple 你是否正在收集各類網安網安知識學習，合天網安實驗室為你總結了1300+網安技能任你學，點擊獲取免費靶場>> forward laravel的版本已經到了8；這里分析一個laravel8的反序列化漏洞，但是讓我感到意外 ...

環境 jdk：1.8 shiro：1.2.4 Shiro簡介 　　Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、授權、密碼和會話管理。使用Shiro的易於理解的API,您可以快速、輕松地獲得任何應用程序,從最小的移動應用程序到最大的網絡和企業應用程序。 漏洞 ...

Java安全之Dubbo反序列化漏洞分析 0x00 前言 最近天氣冷，懶癌又犯了，加上各種項目使得本篇文斷斷續續。 0x01 Dubbo 概述 Dubbo是阿里巴巴開源的基於 Java 的高性能 RPC（一種遠程調用） 分布式服務框架（SOA），致力於提供高性能和透明化的RPC遠程服務 ...

Java安全之Fastjson反序列化漏洞分析 首發：先知論壇 0x00 前言 在前面的RMI和JNDI注入學習里面為本次的Fastjson打了一個比較好的基礎。利於后面的漏洞分析。 0x01 Fastjson使用 在分析漏洞前，還需要學習一些Fastjson庫的簡單使用 ...

Java安全之Cas反序列化漏洞分析 0x00 前言 某次項目中遇到Cas，以前沒接觸過，借此機會學習一波。 0x01 Cas 簡介 CAS 是 Yale 大學發起的一個開源項目，旨在為 Web 應用系統提供一種可靠的單點登錄方法，CAS 在 2004 年 12 月正式成為 JA-SIG ...

Java安全之JBoss反序列化漏洞分析 0x00 前言 看到網上的Jboss分析文章較少，從而激發起了興趣。前段時間一直沉迷於工具開發這塊，所以打算將jboss系列反序列化漏洞進行分析並打造成GUI的工具集。當然反序列化回顯這塊也是需要解決的一大問題之一，所以下面會出一系列文章對該漏洞的分析 ...

0x01、環境搭建 下載地址：https://codeload.github.com/apache/shiro/zip/shiro-root-1.2.4 環境：Tomcat 8.5.27 + id ...

fastjson及其反序列化分析 源碼取自 https://www.github.com/ZH3FENG/PoCs-fastjson1241 參考 (23條消息) Json詳解以及fastjson使用教程_srj1095530512的博客-CSDN博客_fastjson parse方法 ...