回答情况:
提问时间:
问题标签:
我想知道利用以下漏洞的代码。
这是uploading file普通文件上传吗?我认为只有当接收到序列化的对象有效负载时。
浏览 0修改于2018-11-27得票数 0
回答已采纳
我希望将IEnumerable序列化为JsonObject,就像通过应用JsonObject属性来序列化它的方式一样,但是我不能通过引入该属性来更改DTO类。有没有办法告诉(反)序列化程序强制JsonObject (反)序列化?
浏览 2提问于2017-12-07得票数 0
回答已采纳
2回答
我一直在阅读Java反序列化漏洞,该漏洞会导致远程代码执行攻击。许多公开的功绩甚至可以用来进行攻击。
我没有找到任何描述攻击者如何利用该漏洞的教程。如果我制作了一个反序列化程序,那么如何利用它来执行RCE?
浏览 0修改于2017-07-07得票数 1
昨天宣布了反序列化漏洞(CVE-2015-4852):
SpringFramework使用commons.collections。如果SpringFramework使用InvokerTransformer,则可能存在反序列化漏洞(CVE-2015-4852)。
浏览 2提问于2015-11-12得票数 5
回答已采纳
我将相关角色的消息(反)序列化到Play /从Play序列化!杰森。我想使用JSON (反)序列化的akka持久化系统(如果可能)。谢谢!
最好的!
浏览 3提问于2015-01-27得票数 4
我已经运行了OWASP工具来识别我开发的应用程序中的漏洞问题,使用 run 10和spring-boot。在那里,我得到了缺少的反点击顶漏洞,为下面的网址。
浏览 26提问于2022-02-07得票数 2
我使用rdfLib以trig格式(基于海龟)序列化我的三元组,但由于某种原因,我的sh:pattern语句(regex格式)中的反斜杠()是加倍的。我试着输入sh:pattern的值作为原始字符串,并转义反斜杠,但是它仍然在生成的trig文件中创建了太多的反斜杠。示例:一旦序列化成为:在输入和最终的序列化之
浏览 2提问于2021-11-11得票数 0
回答已采纳
我正在尝试(反)序列化一个对象,该对象的属性具有来自maven依赖项的类型,因此我不能更改此类型的类。此类型的类具有@JsonSerialize和@JsonDeserialize注释。但是,我希望使用默认的序列化程序和反序列化程序,因为自定义序列化程序写入的是数组而不是对象。有没有办法,使用注释,告诉jackson使用默认的(反)序列化程序?
浏览 1修改于2017-05-13得票数 0
Sonatype Nexus IQ Server component scan指出Jackson-Databind版本2.9.9库存在编码为sonatype-2017-0312的漏洞问题。BeanDeserializerFactory类中的createBeanDeserializer()函数允许对不受信任的BeanDeserializerFactory对象进行反序列化。远程攻击者可以通过上载恶意序列化对象来攻击此漏洞,如果应用程序试图对其进行反序列化,该对象将导致RCE。我试过使用redhat版本的Jac
浏览 46提问于2019-06-16得票数 1
对于Play 2.4 (Java),有没有一种简单的方法可以使用现有的Play JSON或Play插件来根据对实例进行反/序列化?我们正在编写自己的反/序列化程序,基于Jackson,与我们的Ember.js前端进行通信。谢谢。
浏览 1提问于2016-01-05得票数 1
"msg":{“注册表”:{ "{{docker_registry.url}}":{“密码”:"arGgyprRu8R3nu7JBIki",“用户名”:"autom“}}
对此模板或忽略json序列化有什么想法吗?
浏览 1提问于2019-03-20得票数 0
例如,我在ZAP代理中安装了反CSRF扫描规则,并扫描了一个POST请求,该请求不验证后端的CSRF令牌值。理想情况下,这是CSRF漏洞,但ZAP代理扫描器没有检测到这一点。反CSRF规则
📷
浏览 0修改于2020-11-13得票数 2
我正在寻找一种从Json进行反序列化的方法,以便使用Json本身中的数据进行版本依赖。我的目标是使用ServiceStack.Text.JsonDeserializer,但可以切换到另一个库。例如2.0)是: version: "2.0"}在已知的产品中,似乎没有对版本依赖的JSON (反</em
浏览 4修改于2016-03-26得票数 7
当用户从基于会话的站点注销时,是否应该刷新其相应的反csrf令牌(存储在会话中)?
如果令牌应该刷新,那么为什么要特别刷新?哪些可能的漏洞会导致抗CSRF令牌不刷新?
浏览 0提问于2019-12-18得票数 0
显然,发现了一个路径遍历漏洞,该漏洞如下所示:
http://help.example.com/@app/skin/views/%5c../%5c../%5c../%5c../%5c../%5c../这是如何工作的,以及%5c..中URL编码反斜杠的用途是什么?
浏览 0提问于2017-06-28得票数 4
回答已采纳
我在处理字符串中反斜杠的问题。我有这样的方法{}
是否有可能在序列化期间禁用添加反斜杠?
浏览 4提问于2016-05-03得票数 5
回答已采纳
我正在浏览此页,这使我重定向到这漏洞,因为我是一个Java,并且知道受影响的库。我们发现Apache在序列化实例中错误地处理了带有空字节的文件名。序列化实例中具有空字节的...file名称。
浏览 0提问于2013-11-23得票数 8
回答已采纳
1回答
我试图寻找某种方法来缓解应用程序前端的不安全反序列化漏洞。blog.jscrambler.com/exploring-the-owasp-top-10-by-exploiting-vulnerable-node-applicationsA8-如果应用程序使用自定义序列化和反序列化此攻击要求了解该应用程序和所使用的序列化类型。通常,如果使用自定义序列化函数序列化和存储敏感数据,则会出现问题。攻击向量可以作为序列化参数发
浏览 0提问于2021-07-22得票数 4
在测试漏洞时,我认为让外壳代码测试该漏洞是否有效是非常有用的。任何有帮助的信息,无论是否与主要问题有关,我们将不胜感激!
浏览 0修改于2016-11-03得票数 3
回答已采纳
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号