Java安全之Dubbo反序列化漏洞分析 0x00 前言 最近天氣冷，懶癌又犯了，加上各種項目使得本篇文斷斷續續。 0x01 Dubbo 概述 Dubbo是阿里巴巴開源的基於 Java 的高性能 RPC（一種遠程調用） 分布式服務框架（SOA），致力於提供高性能和透明化的RPC遠程服務 ...

Java安全之Cas反序列化漏洞分析 0x00 前言 某次項目中遇到Cas，以前沒接觸過，借此機會學習一波。 0x01 Cas 簡介 CAS 是 Yale 大學發起的一個開源項目，旨在為 Web 應用系統提供一種可靠的單點登錄方法，CAS 在 2004 年 12 月正式成為 JA-SIG ...

Java安全之JBoss反序列化漏洞分析 0x00 前言 看到網上的Jboss分析文章較少，從而激發起了興趣。前段時間一直沉迷於工具開發這塊，所以打算將jboss系列反序列化漏洞進行分析並打造成GUI的工具集。當然反序列化回顯這塊也是需要解決的一大問題之一，所以下面會出一系列文章對該漏洞的分析 ...

Fastjson反序列化漏洞利用分析 ​ 背景 在推動Fastjson組件升級的過程中遇到一些問題，為幫助業務同學理解漏洞危害，下文將從整體上對其漏洞原理及利用方式做歸納總結，主要是一些概述性和原理上的東西。 漏洞原理 多個版本的Fastjson組件在反序列化不可信數據時會導致代碼執行 ...

來源於：https://blog.csdn.net/systemino/article/details/98188007 前言 寫的有點多，可能對師傅們來說比較啰嗦，不過這么寫完感覺自己也就明白了 poc newPoc.java ...

Fastjson反序列化漏洞利用分析 ​ 背景 在推動Fastjson組件升級的過程中遇到一些問題，為幫助業務同學理解漏洞危害，下文將從整體上對其漏洞原理及利用方式做歸納總結，主要是一些概述性和原理上的東西。 漏洞原理 多個版本的Fastjson組件在反序列化不可信數據時會導致代碼執行 ...

Fastjson 遠程代碼掃描漏洞復現 環境搭建 1）反序列化攻擊工具源碼下載：https://github.com/mbechler/marshalsec 使用maven命令：mvn clean package -DskipTests 編譯成.jar文件 啟動(默認端口1389 ...

Java安全之Shiro 550反序列化漏洞分析 首發自安全客：Java安全之Shiro 550反序列化漏洞分析 0x00 前言 在近些時間基本都能在一些滲透或者是攻防演練中看到Shiro的身影，也是Shiro的該漏洞也是用的比較頻繁的漏洞。本文對該Shiro550 反序列化漏洞進行一個分析 ...