fastjson 1.2.68 最新版本有限制 autotype bypass
关于漏洞该漏洞和以往的 autotype bypass 不同,要求 gadget 必须继承自 Throwable 异常类,所以常见的 JNDI gadge...
漏洞,安全
fastjson < 1.2.66 正则表达式拒绝服务漏洞
关于漏洞朋友说最近fastjson又出新洞了,我就再研究了一遍fastjson,结果又找出来了一个拒绝服务漏洞,所以有了这篇文章。目前该漏洞已在最新版本被...
“GhostCat” Tomcat 文件读取与文件包含漏洞分析(CVE-2020-1938)
关于 GhostCatTomcat 最近曝出了一个新的高危漏洞,由长亭命名为“GhostCat”,该漏洞可以读取和包含 Tomcat 应用的任意文件。通常...
eWebeditor 商业版客户端控件任意文件读取漏洞
关于漏洞这个漏洞是我在做某个渗透测试项目时发现的,其漏洞是由于安装在客户端的 ewebeditor 编辑器功能控件在本地开启了一个 web 服务,供上传文...
Java 反序列化漏洞始末(5)— XML/YAML
哔哔两句前面把反序列化漏洞里的一大巨头“JSON”的主要问题给总结了一下,XML 和 YAML 在反序列化漏洞中也能算得上是个很常见的问题。我例举出几个几...