先知议题 Java反序列化实战_廖新喜 FastJson1.2.41-1.2.45 浅析
学习自阿里先知公开的资料,感谢每一位分享技术的大佬 https://xz.aliyun.com/t/2400 作者博客:http://xxlegend.com 文档中提到了FastJson 1.2.41-1.2.45版本的反序列化漏洞绕过,都是较新的版本,目前的最新版是1.2.47。还提到了Weblogic,后面再学习 值得注意的是这些版本默认不再开启@type,需要设置vm options -Dfastjson.parser.autoTypeSupport=true开启 文档中提到是...标签: 反序列化漏洞
fastjson-1.2.24 反序列化漏洞浅析
学习自廖新喜大牛的博客,感谢这些乐于分享技术的大牛使得小白有机会学习 最近在学习Spring MVC,在开发中用到了一些JSON库,于是去了解到了一下这些库发生过的漏洞,发现jackson和fastjson在2017年都被爆出过多个代码执行漏洞。 首先了解一下json的序列化,我理解为把java对象转为json字符串,反序列化即为把json字符串转为java对象,例子如下 package jsontest; import com.alibaba.fastjson.JSON; public class Json { ...标签: 反序列化漏洞
Apache Commons-Collections-3.2.1 反序列化漏洞浅析
最近在学java,当然少不了去学习大名鼎鼎的java反序列化漏洞。 一通搜索然后阅读各种大牛的文章找到如下payload import java.io.File; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.ObjectInputStream; import java.io.ObjectOutputStream; import java.lang.annotation.Retention; import java.lang.reflect.Const...标签: 反序列化漏洞
你是衣冠楚楚的人 而我只是一个打满补丁的猴子
-
小博客一个,没必要伤害她
热门文章
存档
标签
最新评论
- yz
想想你喜欢什么,想做什么,找好一个自己的... - 小屿
@Jahan:testfun1024#p... - Jahan
Hello dear Xia0 i a... - brave
@万:你的手机应该是anroid7.0以... - jhsy
新版的cookie机制应该又变了. 而且... - 小屿
@janto:无兴趣 - janto
新版的这些好像不起作用了,deviceI... - hunk
正在研究,可否发一份新源码?todz$1... - miffy
请问可以加个好友咨询下吗? - vegetableChicken
@Snkrs:我也遇到和你一样的问题了,...