-
漏洞情报|XStream远程代码执行漏洞风险通告(CVE-2020-26217)
近日,腾讯云安全运营中心监测到,XStream官方发布安全公告,披露了一个XStream远程代码执行漏洞(漏洞编号:CVE-2020-26217),漏洞被利用可导致远程代码执行。为避免您的业务受影响,…
-
Oracle Coherence&WebLogic反序列化远程代码执行漏洞(CVE-2020-2555)复现
漏洞简介:该洞主要针对weblogic的coherence.jar中存在能够实现反序列化gadget构造的类,并且经过T3协议接收的数据经过反序列化处理后将导致漏洞的产生。漏洞影响:Oracle we…
-
CVE-2020-2555:Weblogic Cohence反序列化RCE分析利用
在对Java Web应用程序进行研究时,不安全的反序列化漏洞已经成为了攻击者或研究人员的常见目标了。这些漏洞将导致他人在目标设备上可靠地实现远程代码执行,而且这类漏洞通常很难修复。2020年3月6日W…
-
【翻译】看我如何利用PHP的0day黑掉Pornhub并获得2W美刀奖励
漏洞发现在分析了Pornhub使用的平台之后,我们在其网站上检测到了unserialize函数的使用,其中的很多功能点(例如上传图片的地方等等)都受到了影响,例如下面两个URL:http://www.…
-
Jenkins Git client插件命令执行漏洞(CVE-2019-10392)
0x00 漏洞描述 Jenkins发布了官方安全公告:https://jenkins.io/security/advisory/2019-09-12/,Git客户端插件中的系统命令执行漏洞。Git客户…
-
.NET高级代码审计(第十一课) LosFormatter反序列化漏洞
0x00 前言LosFormatter一般也是用于序列化和反序列化Web窗体页的视图状态(ViewState),如果要把ViewState 通过数据库或其他持久化设备来维持,则需要采用特定的 LosF…
-
.NET高级代码审计(第十课) ObjectStateFormatter反序列化漏洞
0x00 前言ObjectStateFormatter一般用于序列化和反序列化状态对象图,如常用的ViewState就是通过这个类做序列化的,位于命名空间 System.Web.UI,优点在…
安全问答社区

脉搏官方公众号
