• 分类
  • 归档
  • 友情链接
  • 关于我
最新文章

Apache POI <= 4.1.0 XXE 漏洞 (CVE-2019-12415)

关于 CVE-2019-12415这是最近 POI 官方公布出来的一个 XXE 漏洞,可以影响到 4.1.0 版本,官方已在十天前更新了 4.1.1 版本...
漏洞 2019-10-26 20:16:00

Python 的另外几个反序列化漏洞检查点

哔哔两句最近刚做完某个白盒渗透项目,通读了整个项目代码后发现了几个比较明显的 Python 反序列化漏洞的问题。代码中使用了 Pickle 这个 Pyth...
漏洞 2019-09-10 20:47:00

溯光 3.1.0-beta 发布

快一个月没有更博,不能把每月写 blog 的计划断了所以拿这篇文章先填个坑,Java 反序列化系列文章暂时往后拖一拖。最近一直在写溯光插件,并在上周发布了...
开发,随笔 2019-08-19 14:31:00

CVE-2019-14540: Another gadgets to exploit default typing issue in (Jackson 2.x - 2.9.9.2 and 2.10.0.pr1)

I found a new remote command execution gadget in the package of Hikari. This ...
漏洞 2019-07-31 17:32:00

Java 反序列化漏洞始末(4)— jackson

哔哔两句前面分析了两个关于 fastjson 的漏洞,这篇文章再提一嘴 Jackson。实际上这两个 JSON 处理类库的多数漏洞是可以通用的,原理也就是...
漏洞 2019-07-30 14:38:00

Java 反序列化漏洞始末(3)— fastjson

哔哔两句JSON 在 Java 的反序列化漏洞中也算得上是一个重灾区,在开发者最常用的几个 JSON 类库都被爆出来过漏洞。它们通常会被当做缓存数据,存储...
漏洞 2019-07-08 22:41:00

Java 反序列化漏洞始末(2)— JDK

Jdk7u21jdk7u21 gadget 可以算的上是非常骚的一个反序列化 payload,浑身都是骚点。相比 Apache commons colle...
漏洞 2019-06-26 18:23:00

Java 反序列化漏洞始末(1)— Apache Commons

序列化要了解反序列化漏洞,首先要对java的序列化有一定的了解。java 可以将一个对象序列化成 JVM 认识的字节序列,这个字节序列里包含了该对象的数据...
漏洞 2019-06-25 17:18:00
  1. ←
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. ...
  8. 8
  9. →
关于博主
浅蓝

不会就学,不懂就问

了解更多