java反序列化

Java程序员——你写的应用已经不安全了!

这几天,只要你摆渡“Java”、“反序列化漏洞”等关键词,有关【java反序列化漏洞——2015年被低估的“破坏之王”】、【一个被严重忽略了的漏洞】等标题就赫然出现。这不是危言耸听!!!
合天网安实验室·2020-02-02 23:30

Weblogic相关漏洞

目录WeblogicWeblogic出现过的漏洞SSRF(CVE-2014-4210)任意文件上传(CVE-2018-2894)JAVA反序列化CVE-2015-4852CVE-2016-0638CVE
谢公子·2020-01-14 09:55

CVE-2018-2628安全补丁并不完善 致WebLogic服务器仍易受黑客攻击

4月早些时候,甲骨文公司(Oracle)针对旗下WebLogicServer产品发布了一个至关重要的安全补丁,用于修补一个被评定为“高危”的Java反序列化远程代码执行漏洞,该漏洞允许攻击者能够在未授权的情况下远程执行任意代码
乖巧小墨宝·2019-12-18 07:46

xmldecoder反序列化漏洞分析

可以进行xml文档的解析,这些库的使用不当,会导致XXE漏洞的发生,但是这些类库中,SAX库允许自己去定义整个xml文档处理的handler,可以在xml文档解析的过程中,对解析出来的节点进行一些操作而为java
f1ight·2019-11-14 14:22

Java序列化与反序列化三连问:是什么?为什么要?如何做?

Java序列化是指把Java对象转换为字节序列的过程,而Java反序列化是指把字节序列恢复为Java对象的过程:序列化:对象序列化的最主要的用处就是在传递和保存对象的时候,保证对象的完整性和可传递性。
Java知音*·2019-11-12 13:00

Java序列化与反序列化

解答1.Java序列化与反序列化Java序列化是指,把Java对象转换为字节序列的过程;而Java反序列化是指把字节序列恢复为Java对象的过程。
海边的卡夫卡丶·2019-11-01 20:42

java中的序列化和反序列化简析

实现序列化和反序列化的必备条件四、如何实现序列化和反序列化五、代码实现结果如下总结:序列化的实现条件注意点一、什么是序列化和反序列化Java序列化(Serialization):把java对象转换为字节序列的过程java
出东海·2019-09-23 18:00

浅谈Java反序列化漏洞原理(案例未完善后续补充)

序列化与反序列化序列化用途:方便于对象在网络中的传输和存储java的反序列化序列化就是将对象转换为流,利于储存和传输的格式反序列化与序列化相反,将流转换为对象例如:json序列化、XML序列化、二进制序列化、SOAP序列化序列化:java.io.ObjectOutputStream类中的writeObject()该方法把对象序列化,将字节序列写到一个目标输出流中(.ser扩展名)反序列化:java
r0ckysec·2019-09-18 22:00

Jenkins Java 反序列化远程执行代码漏洞(CVE-2017-1000353)

JenkinsJava反序列化远程执行代码漏洞(CVE-2017-1000353)一、漏洞描述该漏洞存在于使用HTTP协议的双向通信通道的具体实现代码中,jenkins利用此通道来接收命令,恶意攻击者可以构造恶意攻击参数远程执行命令
雨中落叶·2019-08-05 13:00

深入理解JNDI注入与Java反序列化漏洞利用

原文链接:https://kingx.me/Exploit-Java-Deserialization-with-RMI.htmlrmi和jndi这些概念,一直接触,但是看了会儿还是略微懵逼,这篇文章暂时理清了我的思路[承上启下]----------------------------------上边属于我自己瞎扯的,下边是kingx大佬写的-----------------------------
ProjectDer·2019-08-04 19:33

Jboss反序列化漏洞复现(CVE-2017-12149)

Jboss反序列化漏洞复现(CVE-2017-12149)一、漏洞描述该漏洞为Java反序列化错误类型,存在于jboss的HttpInvoker组件中的ReadOnlyAccessFilter过滤器中。
雨中落叶·2019-07-30 13:00

weblogic漏洞总结 复现(未完)

Weblogic10.3.6.0Weblogic12.1.3.0Weblogic12.2.1.1Weblogic12.2.1.2Weblogic12.2.1.3…………历史漏洞#控制台路径泄露Weakpassword#SSRF:CVE-2014-4210#JAVA
潜心学习的小菜狗·2019-07-25 19:00

java反序列化RCE回显研究

总结一下常见反序列化RCE回显几种方式如下:a).使用java.net.URLClassLoader类,远程加载自定义类(放在自己服务器上的jar包),可以自定义方法执行。b).在自定义类中,抛出异常,取得回显结果。eg:Jboss报错返回命令执行结果。利用defineClass加载byte[]返回Class对象,不用远程加载恶意类。直接利用RCE将执行的命令写入服务器文件中,再次访问得到执行命令
java276582434·2019-05-25 19:06

介绍一些 Weblogic 常见的漏洞

介绍Weblogic常见的漏洞,其中包括:弱口令、Java反序列化、XMLdecoder反序列化、SSRF漏洞、任意文件上传,并根据其漏洞,使用Docker+Vulhub进行复现。
csdn大数据·2019-05-24 08:00

java反序列化漏洞原理研习,java基础面试笔试题

零、Java反序列化漏洞java的安全问题首屈一指的就是反序列化漏洞,可以执行命令啊,甚至直接getshell,所以趁着这个假期好好研究一下java的反序列化漏洞。另外呢,组里多位大佬对
ccc_ccc8·2019-04-25 09:52

java反序列化 (PHPSerializer 序列化的对象)

java反序列化php序列化的对象1、原始数据为一个字符串2、原始数据为一个对象3、原始数据为一个集合(List或Map)1、反序列化为java字符串s:21:"这是一个字符串";Stringstr="
Henry_Lin_Wind·2019-04-07 18:25

反序列化的一些tricks

文章目录简介:正文python反序列化0x01基础利用0x02input函数0x03任意函数构造0x04类函数构造0x05构造SSTI0x06其它注意参考java反序列化序列数据结构序列化的执行流程:反序列化流程参考链接正文
JBlock·2019-04-06 18:45

常见的java序列化/反序列化几种类型

Java序列化是指把Java对象转换为字节序列的过程,Java反序列化是指把字节序列恢复为Java对象的过程主要有两种用途:把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中;在网络上传送对象的字节序列
LiryZlian·2019-01-11 01:34

CommonsCollections2反序列化漏洞研究记录

反序列化漏洞四个重要方法Java反序列化的过程中可以自动执行序列化类的四个方法,且反序列化的类必须实现了Serializable接口。
CONSCRIPT·2018-12-20 16:37

JAVA反序列化漏洞

本文参照几位大佬的博客进行归纳总结,给大家阐述了JAVA反序列化
谢公子·2018-12-20 14:25

jdk解决反序列化的方法

翻译自:https://access.redhat.com/blogs/766093/posts/3135411翻译:聂心明Java反序列化漏洞已经是过去两年安全圈里面最热的流行词了,因为每一个使用原始
niexinming·2018-11-08 05:27

从WebLogic看反序列化漏洞的利用与防御

0x00前言上周出的WebLogic反序列漏洞,跟进分析的时候发现涉及到不少Java反序列化的知识,然后借这个机会把一些Java反序列化漏洞的利用与防御需要的知识点重新捋一遍,做了一些测试和调试后写成这份报告
FLy_鹏程万里·2018-10-29 14:38

阳光保险集团java反序列化命令执行两枚打包(写shell教程Linux)

漏洞标题阳光保险集团java反序列化命令执行两枚打包(写shell教程Linux)相关厂商阳光保险集团漏洞作者进击的zjx提交时间2015-12-1423:01公开时间2016-01-2817:10漏洞类型命令执行危害等级高自评
大方子·2018-10-06 22:01

序列化和反序列化的详解

一、基本概念1、序列化和反序列化的定义:(1)Java序列化就是指把Java对象转换为字节序列的过程Java反序列化就是指把字节序列恢复为Java对象的过程。
tree_ifconfig·2018-09-19 09:29

java反序列化 - transformedMap类可以执行恶意代码的原理

java反序列化-transformedMap类可以执行恶意代码的原理0x00代码Mapmap=newHashMap();map.put("key","value");//调用目标对象的toString
wx5b0b88843cb2a·2018-08-16 15:34

java反序列化 - Transformer类可以执行恶意代码的原理

java反序列化-Transformer类可以执行恶意代码的原理0x00代码Transformer[]transformers=newTransformer[]{newConstantTransformer
wx5b0b88843cb2a·2018-08-16 14:43

java反序列化原理-Demo(二)

java反序列化原理-Demo(二)0x00测试代码以及运行结果测试代码:packagetest;importjava.io.ByteArrayInputStream;importjava.io.ByteArrayOutputStream
wx5b0b88843cb2a·2018-08-14 18:01

java反序列化原理-Demo(一)

java反序列化原理-Demo(一)0x00什么是java序列化和反序列?
wx5b0b88843cb2a·2018-08-13 17:03

反序列化工具ysoserial使用介绍

ysoserial集合了各种java反序列化payload;下载地址:https://github.com/angelwhu/ysoserial0x01基本使用方法在公网vps上执行:java-cpysoserial
wx5b0b88843cb2a·2018-08-10 15:49

Weblogic 反序列化漏洞历史

Weblogic直接反序列化漏洞回顾1.CVE-2015-4852利用Java反序列化和ApacheCo
wx5b0b88843cb2a·2018-08-10 14:57

序列化和反序列化的底层实现原理是什么

一、基本概念1、什么是序列化和反序列化(1)Java序列化是指把Java对象转换为字节序列的过程,而Java反序列化是指把字节序列恢复为Java对象的过程;(2)序列化:对象序列化的最主要的用处就是在传递和保存对象的时候
T-Janey·2018-07-02 14:03

利用Java反序列化漏洞在Windows上的挖矿实验

最近,安全社区中有很多人都在讨论如何利用Java反序列化漏洞来攻击类似Apache、SOLR和WebLogic之类的系统。不说废话,我们直接进入正题。
AliceSmith1·2018-04-22 15:23

DefineClass在Java反序列化当中的利用

本文分享一下defineClass在反序列化漏洞当中的使用场景,以及在exp构造过程中的一些使用技巧,马上进入正题。0×00前言首先看一下defineClass的官方定义众所周知,java编译器会将.java文件编译成jvm可以识别的机器代码保存在.class文件当中。正常情况下,java会先调用classLoader去加载.class文件,然后调用loadClass函数去加载对应的类名,返回一个
qq_27446553·2018-04-14 15:36

JDK源码之序列化与反序列化

第一部分:WhatJava序列化是指把Java对象保存为二进制字节码的过程,Java反序列化是指把二进制码重新转换成Java对象的过程。那么为什么需要序列化呢?第
SuperHakce·2018-03-29 10:39

【每日安全资讯】通过JBoss反序列化(CVE-2017-12149)浅谈Java反序列化漏洞

前段时间学校学习J2EE,用到了jboss,顺便看了下jboss的反序列化,再浅谈下反序列化漏洞。Java序列化,简而言之就是把java对象转化为字节序列的过程。而反序列话则是再把字节序列恢复为java对象的过程,然而就在这一转一变得过程中,程序员的过滤不严格,就可以导致攻击者恶意构造的代码的实现。举个简单的例子,jboss的反序列化漏洞出现在jboss\server\all\deploy\htt
技术无边·2018-03-23 00:00

Java反序列化之commons-beanutils分析

TemplatesImpl类是一个可序列化的类,其中有一个属性_bytecodes,里面保存的数据在defineTransletClasses函数里将会被加载成类:存在着这样一条调用链条:简单来说,只要是能调用到getOutputProperties函数,就能触发包含在_bytecodes里的类构造函数被执行(这个类是由***者来实现的)。Payload第一部分:创建了一个BeanComparat
fatshi·2017-12-13 10:34

Java反序列化漏洞原理

一、背景2015年11月6日FoxGloveSecurity安全团队的@breenmachine发布了一篇长博客,阐述了利用Java反序列化和ApacheCommonsCollections这一基础类库实现远程命令执行的真实案例
Jewel591·2017-11-23 19:35

java反序列化漏洞原理分析

转自:paper.tuisec.win/detail.jsp序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,也便于进行网络传输;反序列化即逆过程,由字节流还原成对象。大多数编程语言都提供内置的方法来实现这两个过程。Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,类ObjectInputStream类的readObject()方法用于反
sum3mer·2017-08-03 16:25

Java序列化和反序列化

1.Java序列化和反序列化(What)Java序列化(Serialize)是指将一个Java对象写入IO流中;Java反序列化(Deserialize)指的是从IO流中回复IO对象。
悠扬前奏·2017-07-24 16:38

java 序列化与反序列化的实例详解

1.Java序列化与反序列化Java序列化是指把Java对象转换为字节序列的过程;而Java反序列化是指把字节序列恢复为Java对象的过程。
cakin24·2017-07-14 08:33

深入学习 Java 序列化

第一部分:WhatJava序列化是指把Java对象保存为二进制字节码的过程,Java反序列化是指把二进制码重新转换成Ja
wx5955e325d6bfb·2017-07-04 14:35

序列化和反序列化漏洞的简单理解

1背景2015年11月6日,FoxGloveSecurity安全团队的@breenmachine发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic、WebSphere
jameson_·2017-06-28 09:45

java反序列化漏洞对策

1)java反序列化漏洞请百度。2)对策:ObjectInputStream.readObject()的地方改为附件中的SerialKiller.readObject()。
xinglijun1973·2017-06-01 09:00

java反序列化的内部实现(二)

 Java 反序列化 Java的反序列化,是序列化的逆向过程。基础类型的序列化比较简单,这里主要讲解对象的反序列化,从文件或网络中把字节序列读取出来,并解析字节序列中的对象类描述信息、以及对象成员的值信息,并生成一个新对象的过程。 先看下对象反序列化的参数:字节序列(字节数组)这里的字节序列一般是通过上一篇《java序列化的内部实现(一)》中序列化过程产生的;当然如果有必要的话也可以手工拼装(这种
moon_walker·2017-05-29 20:00

java序列化的内部实现(一)

初步设想关于java序列化的总结分成三部分:java序列化的内部实现、java反序列化的内部实现、java序列化用法以及
moon_walker·2017-05-28 20:00

java 序列化与反序列化总结

一.Java序列化与反序列化Java序列化是指把Java对象转换为字节序列的过程;而Java反序列化是指把字节序列恢复为Java对象的过程。
冰与火IAF·2017-05-22 16:35

解决tomcat中反序列化找不到class

实际上java反序列化的时候,我们一般用的是ObjectInputStream,他默认会去找sun.misc.VM.latestUserDefinedLoader(),这个就是系统默认的appClassloa
huangyunbin·2017-05-19 09:00

解决tomcat中反序列化找不到class

实际上java反序列化的时候,我们一般用的是ObjectInputStream,他默认会去找sun.misc.VM.latestUserDefinedLoader(),这个就是系统默认的appClassloader
huangyunbin·2017-05-19 09:00

继Struts2漏洞,Jackson漏洞来袭

1、时间:2017-4-172、漏洞:Jackson框架Java反序列化远程代码执行漏洞,Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java
任志远Ray·2017-04-20 11:33

Java序列化简介及例子

Java序列化简介Java序列化是指把Java对象转换为字节序列的过程;而Java反序列化是指把字节序列恢复为Java对象的过程。
Coder_py·2017-04-06 22:20
上一页 3 4 5 6 7 8 9 10 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他