E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
反序列化漏洞复现
jenkins任意文件读取
漏洞复现
与分析 -CVE-2018-1999002
jenkins任意文件读取
漏洞复现
与分析-CVE-2018-19990020x00漏洞影响版本Jenkinsweeklyuptoandincluding2.132JenkinsLTSuptoandincluding2.121.10x01
weixin_33894640
·
2024-01-31 17:34
运维
【
漏洞复现
】Jenkins CLI 任意文件读取漏洞(CVE-2024-23897)
漏洞描述Jenkins是基于Java开发的一种持续集成工具。2024年1月25日,Jenkins官方披露CVE-2024-23897JenkinsCLI任意文件读取漏洞致。Jenkins受影响版本中使用args4j库解析CLI命令参数,攻击者可利用相关特性读取Jenkins控制器文件系统上的任意文件(如加密密钥的二进制文件),并结合其他功能等可能导致任意代码执行。Jenkins处理CLI命令的命令
粉刷本领强
·
2024-01-31 17:04
漏洞复现
servlet
漏洞分析|Adobe ColdFusion
反序列化
漏洞(CVE-2023-29300)
AdobeColdFusion存在代码问题漏洞,该漏洞源于受到不受信任数据
反序列化
漏洞的影响,攻击者通过漏洞可以代码执行,可导致服务器失陷,获取服务器权限。
AttackSatelliteLab
·
2024-01-31 16:26
adobe
安全
漏洞分析|Apache ActiveMQ RCE
漏洞复现
(CNVD-2023-69477)
1.漏洞描述ActiveMQ是一个开源的消息代理和集成模式服务器,它支持Java消息服务(JMS)API。它是ApacheSoftwareFoundation下的一个项目,用于实现消息中间件,帮助不同的应用程序或系统之间进行通信。ApacheActiveMQ中存在远程代码执行漏洞,ApacheActiveMQ在默认安装下开放了61616服务端口,而该端口并没有对传入数据进行适当的过滤,从而使攻击者
AttackSatelliteLab
·
2024-01-31 16:25
apache
activemq
Struts2 S2-059 远程代码执行
漏洞复现
0x00简介Struts2是Apache软件组织推出的一个相当强大的JavaWeb开源框架,本质上相当于一个servlet。Struts2基于MVC架构,框架结构清晰。通常作为控制器(Controller)来建立模型与视图的数据交互,用于创建企业级Javaweb应用程序,它利用并延伸了JavaServletAPI,鼓励开发者采用MVC架构。Struts2以WebWork优秀的设计思想为核心,吸收了
5f4120c4213b
·
2024-01-31 16:01
【小迪安全】web安全|渗透测试|网络安全 | 学习笔记-6
目录目录第37天:WEB漏洞-
反序列化
之PHP&JAVA全解(上)第38天:WEB漏洞-
反序列化
之PHP&JAVA全解(下)第39天:WEB漏洞-XXE&XML之利用检测绕过全解目录第37天:WEB漏洞
youngerll
·
2024-01-31 16:14
web安全
安全
php
[Newtonsoft.Json学习笔记] - 序列化与
反序列化
Newtonsoft.Json官方文档https://www.newtonsoft.com/json/help/html/Introduction.htmjson内容
反序列化
定义好数据结构,使用JsonConvert.DeserializeObject
飞翔的烤鸡翅
·
2024-01-31 16:52
学习笔记
C#/.NET
json
Newtonsoft.Json笔记 -JToken、JObject、JArray详解
在原来解析json数据是,一般都是用
反序列化
来实现json数据的解读,这需要首先知道json数据的结构并且建立相应的类才能
反序列化
,一旦遇到动态的json数据,这种方法就不使用。
风神.NET
·
2024-01-31 16:50
json
newtonsoft
C# Newtonsoft.Json解析json笔记
2、最外层的一对大括号即代表整个json,可以首先用
反序列化
函数转化为JObject对象,并将其视作根对象;3、子对象的值,可按名
Ki1381
·
2024-01-31 16:18
C#
-
其他
json
c#
【42万字,2902页】全网最全《零基础网络安全/黑客自学笔记》,爆肝分享!
这份笔记涵盖了网络安全导论、渗透测试基础、网络基础、Linux操作系统基础、web安全等等入门知识点;也有密码爆破、漏洞挖掘、SQL注入等进阶技术;还有
反序列化
漏洞、RCE、内网渗透、流量分析等高阶提升内容
网安员阿道夫
·
2024-01-31 11:44
web安全
安全
网络安全
Apache Flink 文件上传漏洞 CVE-2020-17518
漏洞复现
ApacheFlink文件上传漏洞CVE-2020-17518
漏洞复现
一、漏洞描述二、漏洞影响三、
漏洞复现
1、环境搭建2、
漏洞复现
四、漏洞POC五、参考链接一、漏洞描述ApacheFlink是一个开源的流处理框架
Senimo_
·
2024-01-31 10:24
漏洞复现
Apache
Flink
Flink
文件上传漏洞
CVE-2020-17518
漏洞复现
安全
Apache Flink jobmanager/logs 目录穿越漏洞 CVE-2020-17519
漏洞复现
ApacheFlinkjobmanager/logs目录穿越漏洞CVE-2020-17519
漏洞复现
一、漏洞描述二、漏洞影响三、
漏洞复现
1、环境搭建2、
漏洞复现
四、漏洞POC五、参考链接一、漏洞描述ApacheFlink
Senimo_
·
2024-01-31 10:24
漏洞复现
Apache
Flink
jobmanager/logs
目录穿越漏洞
CVE-2020-17519
漏洞复现
CVE-2020-17518 flink任意文件上传
漏洞复现
漏洞描述ApacheFlink是由Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎。Flink以数据并行和流水线方式执行任意流数据程序,Flink的流水线运行时系统可以执行批处理和流处理程序。编号:CVE-2020-17518Flink1.5.1引入了RESTAPI,但其实现上存在多处缺陷,导致目录遍历和任意文件写入漏洞。影响范围ApacheFli
亚瑞塔斯·D·紫耀
·
2024-01-31 10:53
flink
网络安全
漏洞复现
----13、Apache Flink 文件上传漏洞 (CVE-2020-17518)
文章目录一、ApacheFlink简介二、漏洞简介三、
漏洞复现
四、上传jar包getshell一、ApacheFlink简介ApacheFlink是一个框架和分布式处理引擎,用于在无边界和有边界数据流上进行有状态的计算
七天啊
·
2024-01-31 10:53
#
漏洞复现
网络安全技术
Apache
Flink
文件上传漏洞
CVE-2020-17518
Apache Flink 文件上传漏洞 (CVE-2020-17518)
文章目录一、ApacheFlink简介二、漏洞简介三、
漏洞复现
四、上传jar包getshell一、ApacheFlink简介ApacheFlink是一个框架和分布式处理引擎,用于在无边界和有边界数据流上进行有状态的计算
zxl2605
·
2024-01-31 10:22
#
漏洞复现
web安全
web安全
系统安全
安全
Apache Flink -任意文件写入
漏洞复现
(CVE-2020-17518)
1、产品简介ApacheFlink是高效和分布式的通用数据处理平台,由Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎(简单来说,就是跟spark类似)。Flink具有监控API,可用于查询"正在运行的jobs"和"最近完成的jobs"的状态和统计信息。该监控API被用于Flink自己的dashboard,同时也可用于自定义监控工具,默认监听在80
OidBoy_G
·
2024-01-31 10:52
漏洞复现
apache
flink
安全
web安全
网络安全
CVE-2020-17518&17519 Apache Flink 文件上传&Apache Flink jobmanagerlogs 目录穿越
漏洞复现
目录一、漏洞信息二、环境搭建三、复现过程四、修复建议一、漏洞信息漏洞名称APACHEFLINK文件上传漏洞漏洞编号CVE-2020-17518危害等级高危CVSS评分5.0漏洞厂商Apache受影响版本1.11.0<=ApacheFlink<=1.11.2漏洞概述ApacheFlink1.5.1引入了REST处理程序,攻击者可以通过恶意修改的HTTP头将上传的文件写入本地文件系统上的任意位置。漏洞
luochen678
·
2024-01-31 10:19
漏洞复现
教程
网络安全
安全
web安全
学习
apache
Apache Flink CVE-2020-17518/CVE-2020-17519 文件操作
漏洞复现
0x00简介ApacheFlink是近几年大火的数据处理引擎。受到各大厂商的推崇并且已经应用与实际的业务场景中。很多公司在进行选型的时候都会选择ApacheFlink作为选型的对象。Flink核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。基于流执行引擎,Flink提供了诸多更高抽象层的API以便用户编写分布式任务。0x01漏洞概述CVE-202
东塔网络安全学院
·
2024-01-31 10:19
漏洞复现
安全
CVE-2020-17518 Apache Flink 上传路径遍历
漏洞复现
ApacheFlink上传路径遍历
漏洞复现
一.漏洞描述ApacheFlink1.5.1引入了一个REST处理程序,允许您通过恶意修改的HTTPHEADER将上传的文件写入本地文件系统上的任意位置。
芝士TOM
·
2024-01-31 10:47
apache
flink
java
Apache Flink文件上传漏洞(CVE-2020-17518)漏洞代码分析
漏洞复现
参考如下文章ApacheFlink文件上传漏洞(CVE-2020-17518)
漏洞复现
分析_文件上传
漏洞复现
cve-CSDN博客分析代码的话,首先找到漏洞修复的邮件漏洞详情,可以看到漏洞概要,影响的版本
Smileassissan
·
2024-01-31 10:15
漏洞复现
flink
安全
web安全
Java常见问题解决方案
唯有热爱,可抵岁月长河目录基础Stringcontains()valueOf()IntvalueOf()Object面向对象异常泛型反射序列化与
反序列化
语法糖集合List添加元素删除元素List转Set
后海 0_o
·
2024-01-31 10:05
java
python
windows
python序列化与
反序列化
每种编程语言都有各自的数据类型,其中面向对象的编程语言还允许开发者自定义数据类型(如:自定义类),Python也是一样。很多时候我们会有这样的需求:把内存中的各种数据类型的数据通过网络传送给其它机器或客户端;把内存中的各种数据类型的数据保存到本地磁盘持久化;如果要将一个系统内的数据通过网络传输给其它系统或客户端,我们通常都需要先把这些数据转化为字符串或字节串,而且需要规定一种统一的数据格式才能让数
戈羽殇雪
·
2024-01-31 10:20
json与string转换:com.alibaba.fastjson.JSONObject
Java序列化是一种将对象转换为字节流的过程,以便可以将对象保存到磁盘上,将其传输到网络上,或者将其存储在内存中,以后再进行
反序列化
,将字节流重新转换为对象。
GeekInk小火龙
·
2024-01-31 10:23
json
Nginx解析
漏洞复现
一、环境的搭建从vulhub上面下载vulhub-master.zip文件,上传到服务器中,也可以直接在服务器下载。通过命令unzipvulhub-master.zip进入漏洞目录通过命令cd/vulhub-master/vulhub-master/nginx/nginx_parsing_vulnerability在当前目录下执行,拉取镜像通过命令dockercomposeup-d二、访问漏洞虚拟
plutochen05
·
2024-01-31 08:31
nginx
运维
万户 ezOFFICE wpsservlet SQL注入
漏洞复现
0x01产品简介万户OAezoffice是万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品,统一的基础管理平台,实现用户数据统一管理、权限统一分配、身份统一认证。统一规划门户网站群和协同办公平台,将外网信息维护、客户服务、互动交流和日常工作紧密结合起来,有效提高工作效率。0x02漏洞概述万户ezOFFICEwpsservlet接口存在SQL注入漏洞,未授权的攻击者
OidBoy_G
·
2024-01-31 07:50
漏洞复现
安全
web安全
风炫安全Web安全学习第三十九节课
反序列化
漏洞基础知识
风炫安全Web安全学习第三十九节课
反序列化
漏洞基础知识
反序列化
漏洞0x01序列化相关基础知识0x0101序列化演示序列化就是把本来不能直接存储的数据转换成可存储的数据,并且不会丢掉数据格式序列化(Serialization
风炫安全
·
2024-01-31 05:02
红日靶场2打点记录
因为之前成功用冰蝎免杀360,把权限反弹到了MSF上,然后MSF把权限反弹到CS上所以这次咱们走捷径直接通过
反序列化
漏洞连接(就是关掉360)因为权限弹来弹去感觉好麻烦提示大家如果想要免杀360千万别学我
曼达洛战士
·
2024-01-31 04:21
安全
红日靶场2 ATT&&CK攻击
360免杀其实没有你想象的那么难首先最重要的是你要用免杀脚本对你所生成的木马病毒进行加密然后加密系统的内核,就是上一篇文章所提及的是通过两次加密之后所输出的结果,让360无法感知到,然后先通过java
反序列化
工具将冰蝎工具的
曼达洛战士
·
2024-01-31 04:51
安全
网络和Linux网络_15(IO多路转接)reactor编程_服务器+相关笔试题
目录1.reactor的服务器1.1Sock.hpp1.2加协议分割报文1.3序列化和
反序列化
Protocol.hppmain.ccEpoll.hppTcpServer.hpp2.相关笔试题答案及解析本篇完
GR鲸鱼不跑步
·
2024-01-31 03:50
⑦网络和Linux网络编程
linux
服务器
reactor
c++
网络
信息与通信
面试
Netty的高级用法(一)
两种方式的处理,而服务端在处理这两种类型的数据时会做出不同的应答,对于ONE_WAY形式的应答,有可能会交由异步线程池来执行,而对于TWO_WAY形式的消息,则是立刻做出回应,除了这些,还会牵扯到序列化和
反序列化
coffee_babe
·
2024-01-31 03:44
Netty
java
Netty
Apache Commons Collection3.2.1
反序列化
分析(CC1)
CommonsCollections简介CommonsCollections是Apache软件基金会的一个开源项目,它提供了一组可复用的数据结构和算法的实现,旨在扩展和增强Java集合框架,以便更好地满足不同类型应用的需求。该项目包含了多种不同类型的集合类、迭代器、队列、堆栈、映射、列表、集等数据结构实现,以及许多实用程序类和算法实现。它的代码质量较高,被广泛应用于Java应用程序开发中。Comm
st3pby
·
2024-01-31 03:10
web安全
java
渗透测试
jackson按照自定义注解序列化和
反序列化
属性
背景在springboot-web项目中,绝大多时候都是使用json格式来传输数据,springboot默认使用jackson来转换,一般情况下,默认的转化设置已经可以满足要求。特殊一点的使用Jackson相关的注解辅助也能完成。但是在一次开发过程中,要求对某些字段进行加解密,但是由于是spring微服务的项目,所以只在其中一个服务中需要加密,所以没有办法使用@JsonSerialize和@Jso
飘零未归人
·
2024-01-31 02:26
spring
boot
java
spring
某赛通电子文档安全管理系统 PolicyAjax SQL注入
漏洞复现
0x01产品简介某赛通电子文档安全管理系统(简称:CDG)是一款电子文档安全加密软件,该系统利用驱动层透明加密技术,通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据资产,对电子文档进行全生命周期防护,系统具有透明加密、主动加密、智能加密等多种加密方式,用户可根据部门涉密程度的不同(如核心部门和普通部门),部署力度轻重不一的梯度式文档加密防护,实现技术、管理、审计进行有机
OidBoy_G
·
2024-01-31 01:49
漏洞复现
安全
web安全
华天动力OA ntkodownload.jsp 任意文件读取
漏洞复现
0x03复现环境FOFA:app="华天动力-OA8000"0x04
漏洞复现
PoCPOST/O
OidBoy_G
·
2024-01-31 01:49
漏洞复现
安全
web安全
JeecgBoot jmreport/loadTableData RCE
漏洞复现
(CVE-2023-41544)
0x01产品简介JeecgBoot(或者称为Jeecg-Boot)是一款基于代码生成器的开源企业级快速开发平台,专注于开发后台管理系统、企业信息管理系统(MIS)等应用。它提供了一系列工具和模板,帮助开发者快速构建和部署现代化的Web应用程序。0x02漏洞概述JeecgBootjmreport/loadTableData接口存在FreeMarkerSSTI注入漏洞,攻击者可以通过操纵应用程序的模板
OidBoy_G
·
2024-01-31 01:48
漏洞复现
安全
web安全
万户 ezOFFICE pic.jsp SQL注入
漏洞复现
0x01产品简介万户OAezoffice是万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品,统一的基础管理平台,实现用户数据统一管理、权限统一分配、身份统一认证。统一规划门户网站群和协同办公平台,将外网信息维护、客户服务、互动交流和日常工作紧密结合起来,有效提高工作效率。0x02漏洞概述万户ezOFFICE/defaultroot/platform/portal/
OidBoy_G
·
2024-01-31 01:47
漏洞复现
安全
web安全
使用WAF防御网络上的隐蔽威胁之
反序列化
攻击
什么是
反序列化
反序列化
是将数据结构或对象状态从某种格式转换回对象的过程。这种格式通常是二进制流或者字符串(如JSON、XML),它是对象序列化(即对象转换为可存储或可传输格式)的逆过程。
kkong1317
·
2024-01-30 21:22
网络安全
使用WAF防御网络上的隐蔽威胁之
反序列化
攻击
什么是
反序列化
反序列化
是将数据结构或对象状态从某种格式转换回对象的过程。这种格式通常是二进制流或者字符串(如JSON、XML),它是对象序列化(即对象转换为可存储或可传输格式)的逆过程。
A_YSLFWYS
·
2024-01-30 21:19
网络安全
vecctf web wp
vecctf-web-wp一、php源码审计这题没什么好说的,查看源码直接发现system("catflag_md5.txt"),根本没有绕过的必要,直接访问flag_md5.txt即可得到flag二、
反序列化
C_zyyy
·
2024-01-30 18:58
网络安全
php
web安全
使用WAF防御网络上的隐蔽威胁之
反序列化
攻击
什么是
反序列化
反序列化
是将数据结构或对象状态从某种格式转换回对象的过程。这种格式通常是二进制流或者字符串(如JSON、XML),它是对象序列化(即对象转换为可存储或可传输格式)的逆过程。
云宝的黑客对抗日记
·
2024-01-30 18:49
网络安全
【
漏洞复现
】皓峰防火墙系统越权访问漏洞
Nx03产品主页hunter-query:title="皓峰防火墙系统登录"Nx04
漏洞复现
POC:/setd
晚风不及你ღ
·
2024-01-30 13:03
【漏洞复现】
服务器
web安全
【
漏洞复现
】C-Lodop云服务任意文件读取漏洞
Nx03产品主页fofa-query:"C-Lodop"&&icon_hash="-329747115"Nx04
漏洞复现
POC:GET/../../../..
晚风不及你ღ
·
2024-01-30 13:03
【漏洞复现】
web安全
【
漏洞复现
】零视技术H5S视频平台信息泄漏漏洞
Nx03产品主页hunter-query:title="H5S视频平台|WEB"Nx04
漏洞复现
POC:/
晚风不及你ღ
·
2024-01-30 13:02
【漏洞复现】
网络
web安全
【
漏洞复现
】河辰通讯佑友防火墙后台命令执行漏洞
Nx01产品简介佑友是深圳市河辰通讯技术有限公司的注册商标,公司成立于1998年,主力产品是Mailgard佑友系列邮件服务器,邮件归档,垃圾邮件过滤网关,邮件网关,全球邮网关,邮件负载均衡网关、防火墙,VPN等。Nx02漏洞描述佑友防火墙网关管理系统存在命令执行漏洞,攻击者可利用该漏洞将恶意的系统命令拼接到正常命令中,从而造成命令执行攻击。Nx03产品主页hunter-query:app.nam
晚风不及你ღ
·
2024-01-30 13:57
【漏洞复现】
网络
运维
web安全
使用WAF防御网络上的隐蔽威胁之
反序列化
攻击
什么是
反序列化
反序列化
是将数据结构或对象状态从某种格式转换回对象的过程。这种格式通常是二进制流或者字符串(如JSON、XML),它是对象序列化(即对象转换为可存储或可传输格式)的逆过程。
IT香菜不是菜
·
2024-01-30 12:53
网络安全
Linux本地内核提权
漏洞复现
(CVE-2019-13272)
image0x00简介在5.1.17之前的Linux内核中,kernel/ptrace.c中的ptrace_link错误地处理了想要创建ptrace关系的进程的凭据记录,这允许本地用户通过利用父子的某些方案来获取root访问权限进程关系,父进程删除权限并调用execve可能允许攻击者控制。0x01漏洞概述Linux执行PTRACE_TRACEME函数时,ptrace_link函数将获得对父进程凭据
5f4120c4213b
·
2024-01-30 12:06
Jackson序列化和
反序列化
的统一配置
JDK17+SpringBoot3.2.2通过实现Jackson2ObjectMapperBuilderCustomizer接口重写customize方法,springboot会对该接口的所有实现类进行配置的合并,将设置的属性封装到IOC容器中的ObjectMapper对象中,无需进行手动New。如果自己newObjectMapper,那么这些自定义的配置就不会自动封装到新创建的objectMap
勿语&
·
2024-01-30 09:01
spring
boot
后端
java
序列化
反序列化
fastjson
反序列化
方法JSON.parseObject(String str,Class
clazz)
对象到字符串的过程,我们称之为序列化;反之,我们称为
反序列化
。
斩天拔剑书
·
2024-01-30 09:24
个人技术提升
fastjson
Java
反序列化
json内存溢出_fastjson
反序列化
使用不当致使内存泄露
分析一个线上内存告警的问题时,发现了形成内存告警的缘由是使用fastjson不当致使的。分析dump发现com.alibaba.fastjson.util.IdentityHashMap$Entry对象比较多。html查找相关文档fastjsonIdentityHashMap内存泄漏排查(这篇文档分析描述的状况与咱们遇到的问题的缘由同样,是使用com.alibaba.fastjson.util.P
李daxin
·
2024-01-30 09:22
Java
反序列化
json内存溢出_fastJson与一起堆内存溢出'血案'
FastJson与一起堆内存溢出'血案'现象QA同学反映登录不上服务器排查问题1--日志级别查看log,发现玩家登录的时候抛出了一个java.lang.OutOfMemoryError大概代码是向Redis序列化一个PlayerMirror镜像数据,但是在JSON.toJSONString的时候出现了错误.比较清晰,即序列化的时候expandCapacity,内存不足又看了一下日志,有好几个Out
weixin_39753584
·
2024-01-30 09:22
上一页
4
5
6
7
8
9
10
11
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他