反序列化 | 安全脉搏

标签：反序列化

漏洞

基于某商产品WeblogicT3反序列化告警流量分析

声明：本文仅限于技术讨论与分享，严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负，与本号及原作者无关。前言护网时平时遇到的针对weblogic等中间件漏洞利用以及漏洞扫描的很多，但是我看到…

合天网安实验室 29天前

7,251 0 2
代码审计

实战 | .NET高级代码审计反序列化Gadget之ExpandedWrapper

0x01 背景ExpandedWrapper在XmlSerializer反序列化过程发挥了至关重要的作用，完美的扩展了两个泛型类且它的公开的属性可以存储投影结果，正是由于提供了这么多强大的功能才被反序…

HACK_Learn 2022-06-27 16:15:52

8,450 0 1
资讯

从CTF中学习PHP反序列化的各种利用方式

文章来源｜MS08067 Web高级攻防第3期作业本文作者：绿冰壶（Web高级攻防3期学员）前言|序列化与反序列化为了方便数据存储,php通常会将数组等数据转换为序列化形式存储，那么什么是序列化呢？序…

Ms08067安全实验室 2022-06-01 16:18:25

6,799 0 1
Web安全

初识Java反序列化

前言研究某产品反序列化EXP时，搜集到的POC只有一段16进制字节序列难以利用，遂有下文对Java序列化和反序列化的学习。大致内容如下：序列化和反序列化示例序列化数据组成解构反序列化漏洞形成原理序列化…

TideSec 2022-05-31 18:28:42

10,883 0 1
Web安全

Ysoserial Commons-Collections 利用链分析

Commons-Collections1首先构造transformers反射链，调用ChainedTransformer方法封装transformers数组，串联三次反射。final Tra…

Further_eye 2021-07-28 11:19:39

6,230 0 0
工具

Xcheck之Node.js安全检查引擎

0x00 Node.js安全检查引擎Node.js作为常见的Web开发语言之一，Xcheck也针对该语言打造了对应的扫描引擎：JsCheck。同样基于污点传播模型，支持以下常见漏洞类型：目前JsChe…

Xcheck 2021-07-22 18:19:40

12,889 0 129
资讯

浅析phar反序列化漏洞攻击及实战

前言 phar反序列化漏洞很久之前就开始接触了；因为当时出了点问题导致一直无法成功，所以当时直接去学习其他的漏洞了；今天觉得是时候把这个漏洞补上去了；漏洞成因 phar文件会以序列…

合天网安实验室 2021-07-16 11:34:29

6,097 0 3
资讯

Apache Shiro反序列化识别那些事

1.1 关于Apache ShiroApache shiro是一个Java安全框架，提供了认证、授权、加密和会话管理功能，为解决应⽤安全提供了相应的API:认证-⽤用户身份识别，常被称为用户”登录” …

合天网安实验室 2021-07-12 11:51:51

7,053 1 3
工具

利用PHAR协议进行PHP反序列化攻击

PHAR (“Php ARchive”) 是PHP中的打包文件，相当于Java中的JAR文件，在php5.3或者更高的版本中默认开启。PHAR文件缺省状态是只读的，当我们要创建一个Phar文件需要修改…

锦行科技 2021-06-28 17:44:13

5,894 0 0
CTF

通过几道CTF题学习yii2框架

简介Yii是一套基于组件、用于开发大型 Web 应用的高性能 PHP 框架，Yii2 2.0.38 之前的版本存在反序列化漏洞，程序在调用unserialize()时，攻击者可通过构造特定的恶意请求执…

合天网安实验室 2021-06-18 16:40:10

7,843 0 3
CTF

通过几道CTF题学习Laravel框架

Laravel5.8.x反序列化POP链安装：其中--prefer-dist表示优先下载zip压缩包方式composer create-project --prefer-dist&…

合天网安实验室 2021-06-17 17:05:44

5,681 0 1
Web安全

java安全之fastjson链分析

前段时间有师傅来问了我fastjson的问题，虽然知道大概但没分析过具体链，最近有空了正好分析一下fastjson两个反序列化洞：1.2.22<=version<=1.2.241.2.25…

合天网安实验室 2021-06-11 15:47:17

8,231 0 0
工具

Xcheck之Java安全检查引擎

Java安全检查引擎Xcheck的java安全检查引擎支持Spring RequestMapping、JAX-RS、WebService和Java Servlet几种常用web接口的代码安全检查，目前…

Xcheck 2021-06-11 10:49:50

5,697 0 1
安全建设

青藤云安全“蜂巢之声”：OWASP TOP 10风险与容器安全

在安全领域，几乎每个人都知道OWASP（开源Web应用安全项目），该组织会定期发布Web应用Top 10安全风险列表，是了解最需要关注哪些攻击方式的一个重要资源。在OWASP网站上可以找到有关这些攻击…

青藤云安全 2021-05-25 10:37:19

5,836 0 2
漏洞

Laravel 8 反序列化分析

forwardlaravel的版本已经到了8；这里分析一个laravel8的反序列化漏洞，但是让我感到意外的是，这个漏洞竟然在低版本的laravel上依然可以存在，从根本来说这个漏洞是laravel的…

合天网安实验室 2021-03-18 10:35:19

5,789 0 0

专栏作者

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号

活动日程

2022-06-17

Gdevops 全球敏捷运维峰会

2022-05-12

Mastering the Challenge！——来自The 3rd AutoCS 2022智能汽车信息安全大会的邀请函

2021-11-18

AutoSW 2021智能汽车软件开发大会

2021-06-27

2021中国国际网络安全博览会暨高峰论坛

2021-05-27

The 2nd AutoCS 2021智能汽车信息安全大会

2020-12-18

贝壳找房2020 ICS安全技术峰会

2020-12-11

全球敏捷运维峰会（Gdevops2020）

2020-12-04

2020京麒网络安全大会

2020-11-29

OPPO技术开放日第六期|聚焦应用与数据安全防护

2020-11-27

EISS-2020企业信息安全峰会之上海站 11.27

2020-09-24

CSDI summit中国软件研发管理行业技术峰会

2020-09-23

2020中国国际智慧能源暨能源数据中心与网络信息安全装备展览会

2020-07-31

EISS-2020企业信息安全峰会之北京站 | 7.31（周五线上）

2020-04-15

看雪.安恒 2020 KCTF 春季赛

2020-01-09

相约本地生活安全沙龙暨白帽子颁奖典礼

友情链接

关注我们

SecPluse

合作伙伴

品牌归属

关于我们

安全脉搏（secpulse.com）是以互联网安全为核心的学习、交流、分享平台，集媒体、培训、招聘、社群为一体，全方位服务互联网安全相关的管理，研发和运维人，平台聚集了众多安全从业者及安全爱好者，他们在这里分享知识、招聘人才，与你一起成长。

©2013- 安全脉搏沪ICP备16016474号

沪公网安备 31010402005682号