反序列化
张玉安(ღ˘⌣˘ღ)
热爱可抵岁月漫长
展开
-
Java反序列化漏洞
Ysoserial介绍Ysoserial是国外一款安全工具,集合了各种java反序列化payload,下载地址:https://github.com/frohoff/ysoserial/使用方法1、首先使用ysoserial在攻击机上启动一个 JRMP server,输入以下命令 java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.j...原创 2019-12-10 16:39:11 · 1075 阅读 · 0 评论 -
我眼中的Java反序列化漏洞
一、Java 序列化与反序列化Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。Java 反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列化。序列化与反序列化是让 Java 对...原创 2019-12-10 16:33:58 · 446 阅读 · 0 评论 -
我眼中的WebLogic wls-async 反序列化远程命令执行漏洞(CNVD-C-2019-48814)
一,防御简述:跟该漏洞存在于wls9-async组件,这个组件主要作用是异步通讯服务,攻击者可以向/ _async / AsyncResponseService路径下构造良好的xml格式的数据,并保存在数据中的服务器端反序列化时,执行其中的恶意代码,从而可以getshell。影响版本:Oracle WebLogic Server的10.3.6.0.0Oracle WebLogic Ser...原创 2019-11-29 10:50:36 · 328 阅读 · 0 评论