Python 的另外几个反序列化漏洞检查点
哔哔两句最近刚做完某个白盒渗透项目,通读了整个项目代码后发现了几个比较明显的 Python 反序列化漏洞的问题。代码中使用了 Pickle 这个 Pyth...
漏洞
CVE-2019-14540: Another gadgets to exploit default typing issue in (Jackson 2.x - 2.9.9.2 and 2.10.0.pr1)
I found a new remote command execution gadget in the package of Hikari. This ...
Java 反序列化漏洞始末(4)— jackson
哔哔两句前面分析了两个关于 fastjson 的漏洞,这篇文章再提一嘴 Jackson。实际上这两个 JSON 处理类库的多数漏洞是可以通用的,原理也就是...
Java 反序列化漏洞始末(3)— fastjson
哔哔两句JSON 在 Java 的反序列化漏洞中也算得上是一个重灾区,在开发者最常用的几个 JSON 类库都被爆出来过漏洞。它们通常会被当做缓存数据,存储...
Java 反序列化漏洞始末(2)— JDK
Jdk7u21jdk7u21 gadget 可以算的上是非常骚的一个反序列化 payload,浑身都是骚点。相比 Apache commons colle...