- 综合排序
- 最热优先
- 最新优先
- 来自专栏ShanSan的云原生之路
Serialization and Deserialization
序列化与反序列化 Serialization:Data Structure/Object –> Binary String Deserialization:Binary String –> Data
76810发布于 2020-07-07 - 来自专栏Node Python Go全栈开发
Web Security 之 Insecure deserialization
Insecure deserialization 在本节中,我们将介绍什么是不安全的反序列化,并描述它是如何使网站遭受高危害性攻击的。 ---- 利用 insecure deserialization 漏洞 在本节中,我们将通过 PHP、Ruby 和 Java 反序列化的示例来教你如何利用一些常见漏洞场景。
1.1K10发布于 2021-03-19 - 来自专栏ly0n
Unknown PHP deserialization vulnerability--phar
最近做了些反序列化的题目,都是和serialize()和unserialize()函数相关的漏洞,在翻阅网上的文章时,突然看到了新的漏洞利用方法,可以在不使用php的serialize()和unserialize()函数情况下,引起严重的php对象注入漏洞。它可以使攻击者将相关漏洞的严重程度升级为远程代码执行。
39810发布于 2020-11-04 - 来自专栏FreeBuf
深究Java Hibernate框架下的Deserialization
写在前面 Hibernate是一个开源免费的、基于 ORM 技术的 Java 持久化框架。通俗地说,Hibernate 是一个用来连接和操作数据库的 Java 框架,它最大的优点是使用了 ORM 技术。 Hibernate 支持几乎所有主流的关系型数据库,只要在配置文件中设置好当前正在使用的数据库,程序员就不需要操心不同数据库之间的差异。 分析 对于Hibernate框架的反序列化链主要是通过调用了任意的getter方法,结合TemplatesImpl这条链子进行利用链的构造。 BasicPro
86730编辑于 2023-03-30 - 来自专栏小白安全
Java反序列化利用工具 -- Java Deserialization Exp Tools
Java反序列化漏洞已经被曝出一段时间了,本人参考了网上大神的放出来的工具,将Jboss、Websphere和weblogic的反序列化漏洞的利用集成到了一起。FreeBuf上已经公开了JBoss反序列化执行命令回显的工具,在本文中就不多做叙述了。其实,WebSphere的利用过程也和JBoss差不多,只不过在发送Payload和解析结果的时候多了个Base64编码(解码)的过程。 本工具暂时支持的功能: 1、本地命令执行并回显,无须加载外部jar包,支持纯内网环境检测。 2、支持JBoss、
6.6K80发布于 2018-04-16 - 来自专栏FreeBuf
Vulmap:一款功能强大的Web漏洞扫描和验证工具
rce | | Oracle Weblogic | CVE-2019-2729 | Y | Y | 10.3.6.0, 12.1.3.0, 12.2.1.3 wls9-async deserialization rce | | Oracle Weblogic | CVE-2020-2551 | Y | N | 10.3.6.0, 12.1.3.0, 12.2.1.3-4, wlscore deserialization rce | | Oracle Weblogic | CVE-2020-2555 | Y | Y | 3.7.1.17, 12.1.3.0.0, 12.2.1.3-4.0, t3 deserialization console rce | | RedHat JBoss | CVE-2010-0738 | Y | Y | 4.2.0 - 4.3.0, jmx-console deserialization any files upload | | RedHat JBoss | CVE-2010-1428 | Y | Y | 4.2.0 - 4.3.0, web-console deserialization
1.2K20编辑于 2023-04-26 - 来自专栏iSharkFly
MessagePack Java 0.6.X 使用一个消息打包(message-packable)类
msgPack.write(src); logger.debug("Bytes Array Length: [{}]", bytes.length); // Deserialization logger.debug("------ Deserialization ------"); MessageData dst = msgPack.read dst.uuid); } catch (Exception ex) { logger.error("MessagePack Serialization And Deserialization logger.debug("------ Deserialization ------"); ByteArrayInputStream in = new dst1.uuid); } catch (Exception ex) { logger.error("MessagePack Serialization And Deserialization
49420发布于 2019-08-07 - 来自专栏iSharkFly
MessagePack Java 0.6.X 使用一个消息打包(message-packable)类
msgPack.write(src); logger.debug("Bytes Array Length: [{}]", bytes.length); // Deserialization logger.debug("------ Deserialization ------"); MessageData dst = msgPack.read dst.uuid); } catch (Exception ex) { logger.error("MessagePack Serialization And Deserialization logger.debug("------ Deserialization ------"); ByteArrayInputStream in = new dst1.uuid); } catch (Exception ex) { logger.error("MessagePack Serialization And Deserialization
53230发布于 2019-08-08 - 来自专栏码匠的流水账
Java17的新特性
API (Incubator)提供了jdk.incubator.vector来用于矢量计算,JDK17进行改进并作为第二轮的incubator JEP 415: Context-Specific Deserialization Filters 允许应用去配置指定上下文及动态选择的deserialization filters,示例 public class FilterInThread implements BinaryOperator * * @param filter the serial filter to apply to every deserialization in the thread * Charset API (JDK-8264208) java.io.Console新增了方法用于返回console的charset JDK Flight Recorder Event for Deserialization (JDK-8261160) JDK Flight Recorder新增了jfr.Deserialization实现 Unified Logging Supports Asynchronous Log
1.2K41发布于 2021-09-16 - 来自专栏码匠的流水账
Java17的新特性
Vector API (Incubator)提供了jdk.incubator.vector来用于矢量计算,JDK17进行改进并作为第二轮的incubator JEP 415: Context-Specific Deserialization Filters 允许应用去配置指定上下文及动态选择的deserialization filters,示例 public class FilterInThread implements BinaryOperator * * @param filter the serial filter to apply to every deserialization in the thread * (JDK-8261160) JDK Flight Recorder新增了jfr.Deserialization实现 Unified Logging Supports Asynchronous Log Function & Memory API (Incubator) JEP 414: Vector API (Second Incubator) JEP 415: Context-Specific Deserialization
1.1K10发布于 2021-10-11 - 来自专栏韩曙亮的移动开发专栏
【错误记录】记录 Android 命令行执行 Java 程序中出现的错误 ( dx 打包 PC 可执行文件报错 | dalvik 命令执行 kotlin 编译的 dex 文件报错 )
AndroidShell_jar\AndroidShell.jar PARSE ERROR: class name (kotlin/reflect/jvm/internal/impl/serialization/deserialization BuiltInsResourceLoader) does not match path (META-INF/versions/9/kotlin/reflect/jvm/internal/impl/serialization/deserialization BuiltInsResourceLoader.class) ...while parsing META-INF/versions/9/kotlin/reflect/jvm/internal/impl/serialization/deserialization
1.3K10编辑于 2023-03-29 - 来自专栏Java进阶架构师
JDK 序列化, 碰到serialVersionUID 不一致问题,怎么处理?
新的对象反序列化一定得兼容老的对象 Java Object Serialization Java对象序列化(Serialization)是指将Java中的对象转为字节流,从而可以方便的存储或在网络中传输,反序列化(Deserialization ObjectOutput s = new ObjectOutputStream(f); s.writeObject("Today"); s.writeObject(new Date()); s.flush(); Deserialization Exception e = new InvalidClassException(s.toString()); logger.error("Potentially Fatal Deserialization e); resultClassDescriptor = localClassDescriptor; // Use local class descriptor for deserialization
1.2K50发布于 2021-07-08 - 来自专栏网络安全攻防
【神兵利器】最新Nacos综合漏洞利用工具
Nacos Derby SQL Injection | AVD-2021-897468 | | NO | YES | Nacos Client Yaml Deserialization | / | | NO | YES | Nacos Jraft Hessian Deserialization | AVD-2023-1700159
98810编辑于 2024-12-25 - 来自专栏FreeBuf
Java反序列化漏洞:在受限环境中从漏洞发现到获取反向Shell
启动Burp并安装一个名为Java-Deserialization-Scanner的插件。该插件主要包括2个功能:扫描以及基于ysoserial生成exploit。 ? 我决定查看插件的源码: https://github.com/federicodotta/Java-Deserialization-Scanner/blob/master/src/burp/BurpExtender.java 不信你就试试~ 参考文献 1、https://nickbloor.co.uk/2017/08/13/attacking-java-deserialization/ 2、http://www.pwntester.com /blog/2013/12/16/cve-2011-2894-deserialization-spring-rce/ 3、https://github.com/frohoff/ysoserial 4、https ://github.com/federicodotta/Java-Deserialization-Scanner *参考来源:medium,FB小编secist编译,转载请注明来自FreeBuf.COM
1.9K20发布于 2018-12-07 - 来自专栏用户10155340的专栏
网络基础『 序列化与反序列化』
(package) == false) { logMessage(Warning, "Deserialization fail!") (package) == false) { logMessage(Warning, "Deserialization fail!" (package) == false) { logMessage(Warning, "Deserialization fail!") (package) == false) { logMessage(Warning, "Deserialization fail!") (package) == false) { logMessage(Warning, "Deserialization fail!"
43100编辑于 2024-05-25 - 来自专栏快乐阿超
jackson反序列化器获取类型
that the parser will point to the last * event that is part of deserialized value (or in case deserialization content * @param ctxt Context that can be used to access information about * this deserialization * * @param ctxt Deserialization context to access configuration, additional *
1.1K20编辑于 2023-01-13 - 来自专栏架构师修炼
Java序列化,碰到serialVersionUID不一致怎么处理?
Java Object Serialization Java对象序列化(Serialization)是指将Java中的对象转为字节流,从而可以方便的存储或在网络中传输,反序列化(Deserialization ObjectOutput s = new ObjectOutputStream(f); s.writeObject("Today"); s.writeObject(new Date()); s.flush(); Deserialization Exception e = new InvalidClassException(s.toString()); logger.error("Potentially Fatal Deserialization e); resultClassDescriptor = localClassDescriptor; // Use local class descriptor for deserialization
1.3K21发布于 2021-06-25 - 来自专栏业余草
Java序列化,碰到serialVersionUID不一致怎么处理?
Java Object Serialization Java对象序列化(Serialization)是指将Java中的对象转为字节流,从而可以方便的存储或在网络中传输,反序列化(Deserialization ObjectOutput s = new ObjectOutputStream(f); s.writeObject("Today"); s.writeObject(new Date()); s.flush(); Deserialization Exception e = new InvalidClassException(s.toString()); logger.error("Potentially Fatal Deserialization e); resultClassDescriptor = localClassDescriptor; // Use local class descriptor for deserialization
56340编辑于 2021-12-06 - 来自专栏农夫安全
BurpSuite中的安全测试插件推荐
可以从“ Bapp Store” 界面左侧选择” CSRF Scanner”, 导航到右侧点击“ install”来进行安装 0x10 Java-Deserialization-Scanner Java-Deserialization-Scanner 是一个BurpSuite的插件,用来自动化的发现java反序列化漏洞 项目主页:https://github.com/federicodotta/Java-Deserialization-Scanner
4.4K50发布于 2018-03-30 - 来自专栏LuckySec网络安全
Apache log4j2 远程命令执行漏洞复现
ldap://127.0.0.1:1389/Deserialization/URLDNS/[domain] ldap://127.0.0.1:1389/Deserialization/CommonsCollectionsK1 _encoded_cmd] ldap://127.0.0.1:1389/Deserialization/CommonsBeanutils1/ReverseShell/[ip]/[port] - ://127.0.0.1:1389/Deserialization/C3P0/SpringEcho ldap://127.0.0.1:1389/Deserialization/Jdk7u21/WeblogicEcho ldap://127.0.0.1:1389/Deserialization/Jre8u20/TomcatMemshell1 ldap://127.0.0.1:1389/Deserialization /CommonsBeanutils2/TomcatEcho ldap://127.0.0.1:1389/Deserialization/C3P0/SpringEcho ldap://127.0.0.1:
5.7K80编辑于 2022-11-02
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号