反序列化漏洞复现

世邦spon IP网络对讲广播系统任意文件上传漏洞

漏洞描述sponIP网络对讲广播系统存在任意文件上传漏洞,攻击者可以通过构造特殊请求包上传恶意后门文件,从而获取服务器权限资产测绘icon_hash=“-1830859634”漏洞复现POST/upload
keepb1ue·2024-01-09 21:34

某 E-Office v9 任意文件上传【漏洞复现实战】

image一、前言由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。本文章中的漏洞均为公开的漏洞收集,如果文章中的漏洞出现敏感内容产生了部分影响,请及时联系作者,望谅解。二、漏洞原理本次复现漏洞为未公开漏洞CNVD-2021-49104,该漏洞是由于e-office其上传模块中用户输入部分未能妥善处理,攻击者可以构造恶意的上传数据包
H_00c8·2024-01-09 20:31

常用java代码大全-Java中的序列化(Serialization)

具体来说,它是将对象转换为字节流,以便可以将字节流写入文件或通过网络发送到另一个运行Java的机器,然后反序列化该字节流以重新创建原始对象。
crmeb服务商-肥仔全栈开发·2024-01-09 18:32

LitJson-Json字符串转对像时:整型与字符串或字符串转:整型进的类型不一致的处理

问题描述今天说要的其中的这个api:JsonMapper.ToObject(json),这个api应该是大家很常用的了,它的作用是将jsonstring反序列化成一个类对象。要求一json结
阿海-程序员·2024-01-09 15:06

基于Jackson自定义json数据的对象转换器

测试前端Long类型的代码实际显示效果2、解决方法在SpringBoot项目中,默认使用Jackson来序列化和反序列化json数据,针对上面的问题,决定采用自定义对象转换器的方式,在
原来是好奇心·2024-01-09 14:37

致远OA getAjaxDataServlet XXE漏洞复现(QVD-2023-30027)

0x01产品简介致远互联-OA是数字化构建企业数字化协同运营中台,面向企业各种业务场景提供一站式大数据分析解决方案的协同办公软件。0x02漏洞概述致远互联-OAgetAjaxDataServlet接口处存在XML实体注入漏洞,未经身份认证的攻击者可以利用此漏洞读取系统内部敏感文件,获取敏感信息,使系统处于极不安全的状态。0x03影响范围V5/G6V6.0及以上全系列版本0x04复现环境FOFA:a
OidBoy_G·2024-01-09 08:45

广联达Linkworks DataExchange.ashx XXE漏洞复现

0x01产品简介广联达LinkWorks(也称为GlinkLink或GTP-LinkWorks)是广联达公司(Glodon)开发的一种BIM(建筑信息模型)协同平台。广联达是中国领先的数字建造技术提供商之一,专注于为建筑、工程和建筑设计行业提供数字化解决方案。0x02漏洞概述广联达LinkWorks/GB/LK/Document/DataExchange/DataExchange.ashx接口处存
OidBoy_G·2024-01-09 08:52

金和OA C6 HomeService.asmx SQL注入漏洞复现

0x01产品简介金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。0x02漏洞概述金和OAC6HomeService.asmx接口处存在SQL注入漏洞,攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步
OidBoy_G·2024-01-09 08:52

广联达Linkworks GetAuthorizeKey.ashx 文件上传漏洞复现

0x01产品简介广联达LinkWorks(也称为GlinkLink或GTP-LinkWorks)是广联达公司(Glodon)开发的一种BIM(建筑信息模型)协同平台。广联达是中国领先的数字建造技术提供商之一,专注于为建筑、工程和建筑设计行业提供数字化解决方案。0x02漏洞概述由于广联达LinkWorks/Services/FileService/UserFiles/GetAuthorizeKey.
OidBoy_G·2024-01-09 08:22

金和OA C6 CarCardInfo.aspx SQL注入漏洞复现

0x01产品简介金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。0x02漏洞概述金和OAC6CarCardInfo.aspx接口处存在SQL注入漏洞,攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步
OidBoy_G·2024-01-09 08:48

反序列化,反射时,构造函数是否调用。

目录■反射,反序列化时,构造函数是否调用反序列化时,不被调用反射时,被调用■验证代码---反序列化PersonTest运行结果■验证代码---反射Person(反射)Test(反射)运行结果(反射)■扩展
sun0322·2024-01-09 06:02

全程云OA ajax.ashx接口存在SQL注入漏洞 附POC软件

1.全程云OA简介微信公众号搜索:南风漏洞复现文库该文章南风漏洞复现文库公众号首发全程云办公自动化系统也是企事业单位的内部
sublime88·2024-01-09 05:24

金蝶EAS pdfviewlocal.jsp接口存在任意文件读取漏洞 附POC软件

1.金蝶EAS简介微信公众号搜索:南风漏洞复现文库该文章南风漏洞复现文库公众号首发金蝶EASCloud采购管理系统是专业的采购平台管理系统2.漏洞描述金蝶EAS为集团型企业提供功能全面、性能稳定、
sublime88·2024-01-09 05:53

C# xml序列化和反序列化

问题有的项目使用webservice返回结果是xml,需要进行xml序列化和反序列化xml序列化相关特性C#中,XML序列化相关的特性主要包括:XmlIgnore:这个特性可以用来指示序列化过程忽略一个属性或一个字段
假装我不帅·2024-01-08 20:21

天融信TOPSEC Cookie 远程命令执行漏洞复现

声明本文仅用于技术交流,请勿用于非法用途由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。一、漏洞概述天融信TOPSEC解决方案包括综合管理系统,各类安全产品如防火墙、VPN、安全网关、宽带管理、入侵检测、内容过滤、个人安全套件以及综合安全审计系统等多种安全功能。该系统Cookie处存在RCE漏洞,会导致服务器失陷。二、漏洞环境搭建
故事讲予风听·2024-01-08 19:43

漏洞复现】Hikvision SPON IP网络对讲广播系统存在命令执行漏洞CVE-2023-6895

漏洞描述HikvisionIntercomBroadcastingSystem是中国海康威视(Hikvision)公司的一个对讲广播系统。HikvisionIntercomBroadcastingSystem是中国海康威视(Hikvision)公司的一个对讲广播系统。HikvisionIntercomBroadcastingSystem3.0.3_20201113_RELEASE(HIK)版本存在
丢了少年失了心1·2024-01-08 18:58

漏洞复现】Hikvision SPON IP网络对讲广播系统任意文件上传

漏洞描述IP网络对讲广播系统是一种基于IP网络的高效、可靠、智能的通信解决方案。它支持全双工语音通信、单呼/多呼、组呼/广播等多种通信模式,可以实现跨地域、跨网络的实时通讯。该系统具有灵活的群组管理、智能化的调度和优先级控制功能,可以满足各种场景下的紧急通讯和协作需求。同时,系统支持多种接入设备和应用程序,具有良好的可扩展性和互操作性。免责声明技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法
丢了少年失了心1·2024-01-08 18:23

CVE-2021-21220 Chrome远程代码执行漏洞复现

0x00简介GoogleChrome浏览器是一款由Google公司开发的网页浏览器,该浏览器基于其他开源软件撰写,包括WebKit,目标是提升稳定性、速度和安全性,并创造出简单且有效率的使用者界面。通过CVE-2021-21220漏洞,受害者通过未开沙箱机制的Chrome浏览器打开攻击者置入恶意代码的网页后就会执行攻击者想要执行的任意代码。微信作为腾讯公司发布的一款聊天工具。通过PC端微信用户可以
m0_56642842·2024-01-08 16:01

设计模式之单例模式

单例模式1.单例模式的概述2.单例模式的代码1.饿汉式2.懒汉式3.存在的问题与解决方式1.序列化反序列化的破坏2.反射的破坏1.单例模式的概述1.单例模式(SingletonPattern)是Java
我就是我352·2024-01-08 15:34

redis配置RedisConfig实现序列化和反序列化

依赖(对于RedisConfig文件中三份其中的有的能用到)1.2.732.7.5com.alibabafastjson${fastjson.version}org.springframework.bootspring-boot-starter-data-redis${redis.version}找了三个博客的(都copy过来了),有的没试,这个序列化就okpackageredis.com.con
YH_Nothing·2024-01-08 13:01

记一次Redis消息订阅序列化和反序列化的错误

JSON序列化,覆盖JDK序列化,便于中文查看,配置文件使用ConditionalOnProperty断言;3、Nacos动态配置;解决思路:1、查看Redis中存入的数据乱码,由此确定是Redis序列化和反序列化不匹配
编程爱好者熊浪·2024-01-08 11:31

redis 反序列化异常问题

项目场景:项目场景:账户用户列表页加载失败,前后端分离,后端调用接口能正常返回数据,但是前端不展示,让同事跟新代码却能正常显示问题描述:报错内容:{“success”:false,“message”:"Cannotdeserialize;nestedexceptionisorg.springframework.core.serializer.support.SerializationFailedE
一个努力搬砖的女程序员·2024-01-08 11:30

java redis 序列化_Redis序列化和反序列化

小编典典什么原因导致反序列化问题?
新都萝莉控·2024-01-08 11:00

idea的修改包名后导致redis反序列化deserialize异常问题

中间碰到各种问题,这里主要是记录一下redis反序列化deserialize异常问题。
qq_29127369·2024-01-08 11:59

【redis】反序列化失败

问题:其实是个低级错误,重写了redist序列器,使用fastjson作为redisvalue的序列化器,反序列化时异常,检查后,发现redis里HashMap里部分item的value值是json格式
肉夹馍yc·2024-01-08 11:59

redis 反序列化localDateTime报错

取出来时报错把DefaultTyping.NON_FINAL改成DefaultTyping.EVERYTHING因为LocalDateTime是final类型,NON_FINAL情况下缓存的值不带类型,故反序列化失败
rabbyte0hh·2024-01-08 11:57

redis反序列化

问题背景原因分析问题总结解决方案问题背景最近在项目中发现一个Redis客户端存入数字类型数据后读取报错的有趣问题,经排查将问题化简为测试用例如下:如上图所示,测试通过说明Long类型数据正常存入Redis后,赋值给Long类型变量或调用getClass方法都会抛出异常,具体异常信息为java.lang.ClassCastException:java.lang.Integercannotbecast
有马大树·2024-01-08 11:27

redis进行序列化和反序列化

在默认的情况下,springboot2.x整合redis之后,可以进行正常的保存数据了。但是缓存进去的对象类型数据是经过jdk默认序列化过后的,在可视化工具中是类似于乱码的格式,看起来非常不方便,所以需要进行格式化。在此我们可以采用Jackson2的方式来自定义序列化规则。因为在springboot初始化加载的时候,由于AutoConfiguration特性,会在spring容器中注入相关对象。@
jsl小时光·2024-01-08 11:27

Redis的“序列化“和“反序列化

而在从Redis读取数据和向Redis写入数据时,通常需要将这些数据序列化和反序列化。所谓序列化,就是将数据结构转换为二进制方便传输和存储;反之,反序列化就是将二进制数据转化为对应的数据结构。
Wushli77·2024-01-08 11:56

Redis反序列化的一次问题

redis反序列化的一次问题1.问题描述springboot+redis不少用,但是一直没遇到什么问题,直接代码拷贝上去就用了。
曾大浩·2024-01-08 11:23

ObjectInputStream、ObjectOutputStream在TCP的使用

目录1.序列化(1)序列化ObjectOutputStream(2)反序列化ObjectInputStream2.在TCP连接中的Socket使用3.常见报错(1)java.io.StreamCorruptedException
在下嗷呜·2024-01-08 11:34

C# 反射的乌云,MethodInfo的Json序列化参数入参问题

文章目录前言直接运行MethodInfo运行结果Json解决ParamterInfo实例化运行结果无法实例化问题部分参数的问题Json反序列化经过长达一天的研究,我终于完全的解决的了实战思路方法测试用例运行测试运行结果代码总结总结前言我上篇文章已经基本解决了反射的基本问题
龙中舞王·2024-01-08 08:12

漏洞复现】海康威视iVMS综合安防系统任意文件上传漏洞复现 (在野0day)

声明本篇文章仅用于漏洞复现与技术研究,请勿利用文章内的相关技术从事非法测试,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!
李火火安全阁·2024-01-08 00:08

Supabase 后端服务平台 SQL注入漏洞复现

0x01产品简介Supabase是一个开源的Firebase替代品,以BaaS的形式向各种应用程序提供了一系列的后端功能,可以帮助开发者更快地构建产品。对于想快速实现一个产品而言,如果使用传统开发,又要兼顾前端开发,同时又要花费时间构建后端服务。Supabase能够让开发人员可以专注于前端开发,而无需花费大量时间和精力来构建和维护后端基础设施。Supbase产品包括Postgres数据库和身份验证
OidBoy_G·2024-01-08 00:07

海康威视安全接入网关 任意文件读取漏洞复现

0x01产品简介海康威视安全接入网关是一种网络安全产品,旨在提供安全、可靠的远程访问和连接解决方案.0x02漏洞概述海康威视安全接入网关使用Jquery-1.7.2,该版本存在任意文件读取漏洞,可获取服务器内部敏感信息泄露(安博通应用网关也存在此漏洞)0x03复现环境FOFA:(body="webui/js/jquerylib/jquery-1.7.2.min.js"&&product="ABT-
OidBoy_G·2024-01-08 00:36

Hikvision SPON IP网络对讲广播系统存在命令执行漏洞CVE-2023-6895 附POC软件

1.HikvisionSPONIP网络对讲广播系统简介微信公众号搜索:南风漏洞复现文库该文章南风漏洞复现文库公众号首发HikvisionIntercomBroadcastingSystem是中国海
sublime88·2024-01-07 23:36

任我行CRM系统SmsDataList接口存在SQL注入漏洞 附POC软件

1.任我行CRM系统SmsDataList接口简介微信公众号搜索:南风漏洞复现文库该文章南风漏洞复现文库公众号首
sublime88·2024-01-07 23:36

用友NC Cloud soapFormat.ajax接口存在XXE 附POC软件

1.用友NCCloudsoapFormat.ajax接口简介微信公众号搜索:南风漏洞复现文库该文章南风漏洞复现
sublime88·2024-01-07 23:35

智邦国际ERP GetPersonalSealData.ashx接口存在SQL注入漏洞 附POC软件

1.智邦国际ERP简介微信公众号搜索:南风漏洞复现文库该文章南风漏洞复现文库公众号首发智
sublime88·2024-01-07 23:32

序列化Parcelable与Serializable

反序列化:将在序列化过程中所生成的字节序列转换成数据结构或者对象的过程。
风月寒·2024-01-07 23:07

php反序列化漏洞基础

PHP序列化与序列化作者:H3h3QAQ一、PHP序列化和反序列化1.PHP反序列化:serialize()将变量或者对象转换成字符串的过程,用于存储或传递PHP的值的过程种,同时不丢失其类型和结构常见的序列化字母表示及其含义
H3h3QAQ·2024-01-07 22:26

漏洞复现--用友移动管理平台uploadIcon任意文件上传

免责声明:文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责一:漏洞描述用友移动系统管理是用友公司推出的一款移动办公解决方案,旨在帮助企业实现移动办公、提高管理效率和员工工作灵
芝士土包鼠·2024-01-07 21:21

漏洞复现--Apache OFBiz groovy RCE(CVE-2023-51467)

免责声明:文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责一:漏洞描述ApacheOFBiz(ApacheOpenForBusiness)是一个开源的企业资源规划(ERP)系
芝士土包鼠·2024-01-07 21:51

漏洞复现--天融信TOPSEC两处远程命令执行

免责声明:文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责一:漏洞描述天融信(TOPSEC)是国内领先的网络安全解决方案提供商之一。他们专注于网络安全技术和产品的研发、生产和
芝士土包鼠·2024-01-07 21:48

C# BinaryFormatter二进制格式序列化和反序列化对象

1.从文件中获取二进制信息并反序列化,返回指定的type的对象//////二进制反序列化,并返回指定的type的对象//////要返回类型的对象///二进制文件完整路径///privatestaticobjectFromFile
清远_03d9·2024-01-07 18:13

Pb协议的接口测试

>本文节选自霍格沃兹测试学院内部教材ProtocolBuffers是谷歌开源的序列化与反序列化框架。它与语言无关、平台无关、具有可扩展的机制。
霍格沃兹·2024-01-07 18:11

[Python] 如何使用joblib库导出和导入scikit-learn线性回归模型

Joblib是一个Python库,用于序列化和反序列化Python对象,包括机器学习模型、数据集等。它提供了一种高效的、可扩展的、跨平台的方式来保存和加载大型数据结构,以便在不同的环境中使用。
老狼IT工作室·2024-01-07 17:15

springboot项目自定义序列化和反序列化器实现LocalDateTime转时间戳

本文将介绍如何在SpringBoot项目中自定义序列化和反序列化器,实现LocalDate,LocalDateTime与时间戳之间的转换。objectMapper.register
doka+·2024-01-07 17:21

用友NC word.docx 任意文件读取漏洞复现

0x01产品简介用友NC是一款企业级ERP软件。作为一种信息化管理工具,用友NC提供了一系列业务管理模块,包括财务会计、采购管理、销售管理、物料管理、生产计划和人力资源管理等,帮助企业实现数字化转型和高效管理。0x02漏洞概述用友NC系统word.docx等接口存在任意文件读取漏洞,未经身份认证的攻击者可以通过此漏洞获取敏感信息,使系统处于极不安全状态。0x03复现环境FOFA:body="UCl
OidBoy_G·2024-01-07 16:38

Go语言:几种深度拷贝(deepcopy)方法的性能对比

目前,有三种方法,一是用gob序列化成字节序列再反序列化生成克隆对象;二是先转换成json字节序列,再解析字节序列生成克隆对象;三是针对具体情况,定制化拷贝。前两种方法虽
pengpengzhou·2024-01-07 12:11
上一页 15 16 17 18 19 20 21 22 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他