admin
CVE-2022-39198 Apache Dubbo Hession Deserialization Vulnerability Gadgets Bypass
CVE-2022-39198影响2.7.x ˂ version ˂ 2.7.183.0.x ˂ version ˂ 3.0.123.1.x ˂ version ˂= 3.1.0分析漏洞描述我们可以看看...
原创 | AspectJWeaver利用链绕过serialKiller
点击蓝字关注我们serialKiller原理通过重写ObjectInputStream 类中的resolveClass方法加入黑名单来限制反序列化的类,黑名单配置为serialkiller.confs...
Apache Dubbo反序列化漏洞通告
阅读: 29一、漏洞概述12月22日,绿盟科技CERT监测到网上发布了一个存在于Apache Dubbo中的反序列化漏洞。由于Apache Dubbo在解析 Native_Java 协议时,未对用户输...
《Java安全-只有Java安全才能拯救宇宙》
Java安全-只有Java安全才能拯救宇宙》本项目是记录自己在学习研究Java安全过程中遇到的优秀内容,包括Java代码审计资源以及Java开发的应用程序组件协议等的安全内容。一个不会Java攻击的黑...
探究Groovy组件的利用方式
反序列化Groovy : 1.7.0-2.4.3AnnotationInvocationHandler.readObject() Map.entrySet() (Proxy) Co...
SnakeYaml从漏洞探测到利用姿势
反序列化探测使用URLClassLoader探测String poc = "!!javax.script.ScriptEngineManager [!!java.net.URLClassLoader...