Ivan1ee
安全脉搏

11

文章

95

积分

0

收藏

0

关注

6

粉丝

至今

2019-4-24
代码审计

.NET高级代码审计(第十一课) LosFormatter反序列化漏洞 

0x00 前言LosFormatter一般也是用于序列化和反序列化Web窗体页的视图状态(ViewState),如果要把ViewState 通过数据库或其他持久化设备来维持,则需要采用特定的 LosF…

2019-4-18
代码审计

.NET高级代码审计(第十课) ObjectStateFormatter反序列化漏洞 

0x00 前言ObjectStateFormatter一般用于序列化和反序列化状态对象图,如常用的ViewState就是通过这个类做序列化的,位于命名空间 System.Web.UI,优点在…

2019-4-17
代码审计

.NET高级代码审计(第九课) BinaryFormatter反序列化漏洞 

0x00 前言BinaryFormatter和SoapFormatter两个类之间的区别在于数据流的格式不同,其他的功能上两者差不多,BinaryFormatter位于命名空间 System…

2019-4-15
代码审计

.NET高级代码审计(第八课)SoapFormatter反序列化漏洞 

0x00 前言SoapFormatter格式化器和下节课介绍的BinaryFormatter格式化器都是.NET内部实现的序列化功能的类,SoapFormatter直接派生自System.Object…

2019-4-12
代码审计

.NET高级代码审计(第七课) NetDataContractSerializer反序列化漏洞 

0x00 前言NetDataContractSerializer和DataContractSerializer一样用于序列化和反序列化Windows Communication Foundation …

2019-4-3
代码审计

.NET高级代码审计(第六课) DataContractSerializer反序列化漏洞 

0X00 前言DataContractSerializer类用于序列化和反序列化Windows Communication Foundation (WCF) 消息中发送的数据,用于…

2019-3-26
代码审计

.NET高级代码审计(第五课) .NET Remoting反序列化漏洞 

0x00 前言最近几天国外安全研究员Soroush Dalili (@irsdl)公布了.NET Remoting应用程序可能存在反序列化安全风险,当服务端使用HTTP信道中的SoapServerFo…

2019-3-20
代码审计

.NET高级代码审计(第四课) JavaScriptSerializer反序列化漏洞 

0X00 前言在.NET处理 Ajax应用的时候,通常序列化功能由JavaScriptSerializer类提供,它是.NET2.0之后内部实现的序列化功能的类,位于命名空间System.Web.Sc…

2019-3-13
代码审计

.NET高级代码审计(第三课)Fastjson反序列化漏洞 

0X00 前言Java中的Fastjson曾经爆出了多个反序列化漏洞和Bypass版本,而在.Net领域也有一个Fastjson的库,作者官宣这是一个读写Json效率最高的的.Net 组件,使用内置方…

2019-3-11
代码审计

.NET高级代码审计(第二课) Json.Net反序列化漏洞 

0X00 前言Newtonsoft.Json,这是一个开源的Json.Net库,官方地址:https://www.newtonsoft.com/json ,一个读写Json效率非常高的.Ne…

2019-3-6
资讯

.NET高级代码审计(第一课)XmlSerializer反序列漏洞 

0X00 前言在.NET 框架中的 XmlSerializer 类是一种很棒的工具,它是将高度结构化的 XML 数据映射为 .NET 对象。XmlSerializer类在程序中通过单个 API 调用来…