实战经验丨PHP反序列化漏洞总结 06 Mar, 2019 行业新闻 又到了金三银四跳槽季,很多小伙伴都开始为面试做准备,今天小编就给大家分享一个网安常见的面试问题:PHP反序列化漏洞。虽然PHP反序列化漏洞利用的条件比较苛刻,但是一旦被利用就... Read More
深入理解JNDI注入与Java反序列化漏洞利用 19 Nov, 2018 行业新闻 0. 前言在Java反序列化漏洞挖掘或利用的时候经常会遇到RMI、JNDI、JRMP这些概念,其中RMI是一个基于序列化的Java远程方法调用机制。作为一个常见的反序列化入口,它和反序列化... Read More
FastJson反序列化漏洞利用的三个细节 - TemplatesImpl的利用链 12 Aug, 2018 行业新闻 0. 前言记录在FastJson反序列化RCE漏洞分析和利用时的一些细节问题。1. TemplatesImpl的利用链关于 parse 和 parseObjectFastJson中的 parse() 和 parseObject()方法都可以... Read More
SPRING-TX .jar反序列化 13 Jun, 2018 行业新闻 0x00 反序列化 之前对Java一直不太熟悉,不怎么接触Java安全,不了解Java中序列化与反序列化的一些机制,导致很多Java相关的RCE都看不懂,只知道拿来就用,想了想还是要深入了解一下... Read More
预警 | Weblogic反序列化远程任意代码执行漏洞 18 Apr, 2018 行业新闻 北京时间4月18日凌晨,Oracle官方发布了4月份的关键补丁更新CPU(Critical Patch Update),其中包含一个Weblogic反序列化漏洞(CVE-2018-2628),此漏洞利用简单,通过该漏洞,攻击者可以... Read More
由Typecho 深入理解PHP反序列化漏洞 31 Jan, 2018 行业新闻 零、前言Typecho是一个轻量版的博客系统,前段时间爆出getshell漏洞,网上也已经有相关的漏洞分析发布。这个漏洞是由PHP反序列化漏洞造成的,所以这里我们分析一下这个漏洞,并借此... Read More