80个反序列化漏洞全景合集 (3) | 介绍一个 ViewState 反序列化不常见的知识点
在 .NET 的运行机制中,ViewState 承担着保存控件状态的重要角色,这也是红队在渗透测试中常关注的攻击面之一。设计初衷是让页面在回传时能够恢复控件状态,因此每次请求中都会...
admin
XXL-TOOL v2.0.0 发布 | Java 工具类库
Release Notes 1、【升级】项目升级JDK17; 2、【升级】项目部分依赖升级,如jakarta,适配JDK17; 3、【新增】Encrypt模块:...
XXL-TOOL v1.5.0 发布 | Java工具类库
Release Notes 1、【新增】ID模块:提供ID生成能力,支持多种ID生成策略,如:UUID、Snowflake、Date、Random 等多种ID生...
🔥 Solon AI & MCP v3.4.0 发布(一个全场景智能体应用开发框架)
Solon AI Solon AI ,是 Solon 官方推出的 Java AI 应用开发框架。旨在为 Java 开发者提供统一的接口抽象层,简化与 Open...
.NET 介绍一种漏洞挖掘思路,绕过 GZip 实现反序列化
在.NET反序列化漏洞审计与利用过程中,攻击者通过 BinaryFormatter 类型进行 payload 加载与执行。本文将从 GZip 技术基础出发,逐步分析如何结合 Bin...
shiro反序列化漏洞原理分析
前言:本文不包含CB链分析,只是单纯的漏洞序列化和反序列化的超详细分析。漏洞分析:序列化过程:1.调用convertPrincipalsToBytes方法并传递数组类型的实例acc...
金蝶天燕应用服务器IIOP反序列化远程代码执行漏洞安全风险通告
漏洞背景近日,嘉诚安全监测到金蝶天燕应用服务器IIOP反序列化远程代码执行漏洞。金蝶Apusic应用服务器(Apusic Application Server,AAS)是一款企业级...
.NET 高级代码审计:一种绕过 GZip 叠加 BinaryFormatter 实现反序列化漏洞的技术
在.NET反序列化漏洞审计与利用过程中,攻击者通过 BinaryFormatter 类型进行 payload 加载与执行。本文将从 GZip 技术基础出发,逐步分析如何结合 Bin...
Hessian 反序列化知一二
序列化和反序列化的过程中经常会产生漏洞,因为反序列化时通常应用程序会按照相应的规则自动调用某些方法,利用 Java 的多态,攻击者可以进行不同功能类的组合,形成具有攻击手段的调用...
SerializeJava-反序列图形化工具
声明所提供的工具资料仅供学习之用。这些资料旨在帮助用户增进知识、提升技能,并促进个人成长与学习。用户在使用这些资料时,应严格遵守相关法律法规,不得将其用于任何非法、欺诈、侵权或其他...