探索Java序列化安全的利器 —— ZKar

最新推荐文章于 2024-08-28 09:12:26 发布
最新推荐文章于 2024-08-28 09:12:26 发布
阅读量384 收藏 5
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00015/article/details/139083047
版权

探索Java序列化安全的利器 —— ZKar

zkarZKar is a Java serialization protocol analysis tool implement in Go.项目地址:https://gitcode.com/gh_mirrors/zk/zkar

项目介绍

ZKar是一个由Go语言实现的Java序列化协议分析工具。尽管它仍处于开发阶段,但已经提供了一组强大的功能,包括解析和查看纯Go环境中的Java序列化数据,无需CGO或JDK。此外,ZKar还计划实现对ysoserial攻击payload的复现,以及Java类字节码的解析和操作。

项目技术分析

ZKar的核心是其Java序列化数据的解析器,它将原始的二进制流转化为可读的Go结构体。这意味着你可以直接在Go中操作和理解这些序列化的数据。不仅如此,ZKar还提供了一个命令行工具,方便用户进行快速的数据检测和分析。此外,未来版本还将引入对RMI和LDAP的Go语言实现,进一步增强其功能。

项目及技术应用场景

ZKar适用于安全研究者、渗透测试人员和软件开发者,特别是关注Java应用安全的群体。例如:

  1. 安全审计:检查Java应用程序是否存在序列化漏洞。
  2. 漏洞利用复现:通过ysoserial兼容性验证,可以用于研究和演示Java序列化漏洞。
  3. 应用程序防御:了解序列化工作原理,有助于构建更安全的应用程序。

项目特点

  1. 跨平台: 使用Go语言编写,可以在所有支持Go的平台上运行,无需安装额外的库或依赖项。
  2. 高性能: 已经成功解析并重建了ysoserial的所有测试用例,速度快速且准确。
  3. 易用性: 提供简单的API接口和命令行工具,使数据解析和操作变得简单直观。
  4. 持续发展: 项目仍在积极开发中,未来将添加更多功能,如Java字节码解析和RMI/LDAP实现。

获取与使用

要使用ZKar,只需执行以下命令:

go get -u github.com/phith0n/zkar

然后按照官方文档示例,可以轻松地在你的代码中导入并使用ZKar进行数据处理。

ZKar是一个强大而灵活的工具,对于任何关心Java序列化安全的人来说都是一个宝贵资源。随着它的不断成熟,我们可以期待更多的功能被加入,以满足更多复杂场景的需求。立即尝试ZKar,开启你的Java序列化探索之旅吧!

zkarZKar is a Java serialization protocol analysis tool implement in Go.项目地址:https://gitcode.com/gh_mirrors/zk/zkar

秋玥多
关注
android nfc中MifareClassic格式的读写
CSDN_dlt的博客
11-27 1878
借鉴文章:https://blog.csdn.net/coslay/article/details/25075595 最近项目中涉及到了nfc,也是找了很多资料借鉴以后最终研究出来 我们的nfc一共有16个扇区,每个扇区又有4个块,而每个块由16个字节数组组成,第一个扇区记录的是厂家的信息,所以第一个扇区不能被写入,而其余每个扇区中有4个块,每个扇区的最后一个块用来存放密码或控制位,其余为数据...
Javaweb安全——Weblogic反序列化漏洞(一)
weixin_43610673的博客
12-11 2953
从原生反序列化过程开始谈起。
ZKarJava 序列化协议分析工具
gitblog_00556的博客
08-28 415
ZKarJava 序列化协议分析工具 zkarZKar is a Java serialization protocol analysis tool implement in Go.项目地址:https://gitcode.com/gh_mirrors/zk/zkar 项目介绍 ZKar 是一个用 Go 语言实现的 Java 序列化协议分析工具。尽管该项目目前仍处于开发阶段,但它已经提供了一些...
mybatis oracle查询数据量过大时 查询时间过长
啊狸!
03-18 2595
一、使用Navicat查询sql为 0.556s 数据为 8000条 感觉还凑合不算慢 二、放在myabtis中执行,打印sql执行之间发现时间翻了将近4倍 三、最后发现mybatis 默认一次读取100条数据 (只针对oracle mysql未知),当读取分页数据是没什么问题,但是当读取大量数据是就会显得慢了,只需要根据自身需求配置即可,以下采用yml格式配置 mybatis: map...
思维导图视频代码揭秘RabbitMQ基本流程
实践求真知
05-20 189
思维导图、视频、代码携手揭秘RabbitMQ编程,干货多多,趣味多多! 思维导读 视频 代码 https://gitee.com/cakin24/RabbitMQDemo/tree/master/src/main/java/com/rabbitmq
微信-原路退款流程
L_K_ong的博客
08-03 3170
部分内容参考:https://blog.csdn.net/L_K_ong/article/details/90410085 这里主要描述 退款回调信息内容: 微信申请退款接口文档: https://pay.weixin.qq.com/wiki/doc/api/H5.php?chapter=9_4&index=4 微信退款通知接口文档: https://pay.weixin.qq....
LeetCode #1091 二进制矩阵中的最短路径
m0_48450457的博客
06-07 1648
题目描述 在一个 N × N 的方形网格中,每个单元格有两种状态:空(0)或者阻塞(1)。 一条从左上角到右下角、长度为 k 的畅通路径,由满足下述条件的单元格 C_1, C_2, ..., C_k 组成: 相邻单元格 C_i 和 C_{i+1} 在八个方向之一上连通(此时,C_i 和 C_{i+1} 不同且共享边或角) C_1 位于 (0, 0)(即,值为 grid[0][0]) C_k 位于 (N-1, N-1)(即,值为 grid[N-1][N-1]) 如果 C_i 位于 (r, c),则 gri
EnterpriseDB之EDBWrap
深入理解PostgreSQL
11-13 2765
EnterpriseDB服务器版(又名 PPAS(Postgres plus advanced server)有兼容oracle wrap功能如下: EDB Wrap用于保护专有源代码和程序(包括函数,存储过程,触发器和包)不受到未经授权的查看。 加密后的源代码和程序不能进行反向操作或者跟踪调试。   使用方法:   edbwrap.exe [OPTION]... Options:
KDV HESAPLAMA-crx插件
03-10
KDV Hesa​​plama eklentisi tamamenTÜRKÇE'diryükleyincegörebilirsiniz,重温了卡范尼兹·卡里什马辛(kafanızkarışmasın)。 KDV Hesa​​plama%18Türkiyevergihesaplamaları。 KDV dahil veya ...
82. Remove Duplicates from Sorted List II
热门推荐
u012315428的专栏
03-03 4万+
82. Remove Duplicates from Sorted List IIMy SubmissionsQuestionTotal Accepted: 66613 Total Submissions: 251735 Difficulty: MediumGiven a sorted linked list, delete all nodes that have duplicate number
基于RobotFramework的AutoLine开源自动化测试设计源码
10-03
该项目是AutoLine开源自动化测试平台的源码,基于RobotFramework深度定制开发,支持RobotFramework的丰富库。源码包含659个文件,其中228个为PNG图像文件,209个为CSS样式文件,95个为JavaScript脚本文件,39个为Python代码文件,21个为HTML文件,19个为XML文件,14个为GIF图像文件,6个为DS_Store文件,5个为TXT文本文件,4个为Markdown文件。
moonlight.apk
10-03
moonlight.apk
PI+重复控制的并联型单相有源电力滤波APF仿真simulink 1参考文献: 《应用于有源电力滤波器的单相谐波检测的研究》
10-03
PI+重复控制的并联型单相有源电力滤波APF仿真simulink [1]参考文献: 《应用于有源电力滤波器的单相谐波检测的研究》瞬时无功检测算法 《单相并联型有源电力滤波器关键技术的研究》PI+重复控制 [2]参数设计:参考文献中有交流侧滤波电感、直流侧电容参数设计、电压电流PI控制器参数设计、以及单相APF的理论及原理分析,结合仿真模型一起学习 [3]控制策略及仿真效果: (1)谐波检测:采用瞬时无功功率原理方法,能兼顾单相电路谐波及无功电流检测的检测精度与动态效果 (2)双闭环控制:直流侧电压外环采用PI控制,电流内环采用P+重复控制,SPWM调制策略 (3)仿真效果: ①APF消除谐波时,可补偿一定的无功和谐波; ②补偿前,电网电流THD约20.6%;APF补偿后,电网电流THD约3.6%,低于5%。
2023-04-06-项目笔记 - 第二百七十五阶段 - 4.4.2.273全局变量的作用域-273 -2025.10.03
10-03
2023-04-06-项目笔记-第二百七十五阶段-课前小分享_小分享1.坚持提交gitee 小分享2.作业中提交代码 小分享3.写代码注意代码风格 4.3.1变量的使用 4.4变量的作用域与生命周期 4.4.1局部变量的作用域 4.4.2全局变量的作用域 4.4.2.1全局变量的作用域_1 4.4.2.273局变量的作用域_273- 2024-10-03
OPPO-A72-安卓12-橙狐
最新发布
10-03
OPPO-A72-安卓12-橙狐
直线检测方案实现过程.zip
10-03
eclipse
《计及不确定性的柔性负荷聚合商随机鲁棒投标决策模型代码复现》 模型中包括电动汽车、温控负荷和分布式储能作为柔性负荷的代表接入电网
10-03
《计及不确定性的柔性负荷聚合商随机鲁棒投标决策模型代码复现》 模型中包括电动汽车、温控负荷和分布式储能作为柔性负荷的代表接入电网,聚合商作为投标主体参与到日前电力市场投标竞价中。 模型中考虑各聚合商的出力约束,以及鲁棒约束,以FLA参与投标支出最小为目标函数,采用MATLAB下的CPLEX求解器进行求解,代码中对比了不同鲁棒控制系数与意愿系数变化对结果的影响。
看的见的算法 7个经典应用诠释算法精髓(6)-自己做一个扫雷游戏
10-03
看的见的算法 7个经典应用诠释算法精髓(6)-自己做一个扫雷游戏 07-Mine-Sweeper 7-1 扫雷是什么鬼?扫雷里包含什么算法?.mp4 7-2 扫雷代码基础.mp4 7-3 随机生成雷区.mp4 7-4 验证随机生成雷区算法的随机性.mp4 7-5 Fisher-Yates洗牌算法的应用.mp4 7-6 为扫雷程序加入交互.mp4 7-7 扫雷与floodfill算法.mp4 7-8 更多扫雷相关和floodfil算法的应用.mp4
基于Python的东南大学计算机视觉课程设计源码与实验笔记
10-03
该项目是东南大学2023-2024学年人工智能专业《计算机视觉》课程的综合实践成果,包括86个文件,涵盖Python、C++、C++和C++等多种编程语言。文件类型丰富多样,包含50个PNG图像文件、10个JPG图像文件、9个Markdown笔记文件、6个Python脚本文件、3个C++源文件、2个YAML配置文件、2个C++头文件、2个GIF图像文件、1个Git忽略配置文件以及1个Makefile构建脚本。这些文件共同构成了课程笔记、实验过程记录和课程设计项目的完整资料库。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋玥多

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值