腾讯云开发者社区-腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

卓文见识

专栏作者

44

文章

239813

阅读量

41

订阅数

从漏洞挖掘角度分析fastjson1.2.80 Bypass

文件存储网络安全安全 java 编程算法

Fastjson中parse方法或者parseObject可以将JSON串转化成Java对象，json数据外部可控的情况下可能出现fastjson反序列化漏洞。

2022-08-30

1.4K0

CVE-2020-5902——关于;号绕过认证技巧总结

php tomcat servlet http java

借BIG IPCVE-2020-5902 漏洞的payload说一下前端认证绕过，注意这里用到的;分号，是不是在很多认证绕过的payload里都见过。

2020-07-13

4.3K0

IDEA动态调试(二)——反序列化漏洞(Fastjson)

文件存储网络安全安全 java json

成因：在把其他格式的数据反序列化成java类的过程中，由于输入可控，导致可以执行其他恶意命令，但追根究底是需要被反序列化的类中重写了readObject方法，且被重写的readObject方法/调用链中被插入了恶意命令。

2020-03-16

2.2K0

IDEA动态调试(三)——反序列化漏洞(xml+Yaml)

文件存储 xml json java html

大多数 java 项目用来处理数据基本上都是xml 和 json 两种格式，上篇讲了fastjson的反序列化，另一个json处理库jackson的漏洞原理和利用方式类似。

2020-03-12

2.7K0

Java代码审计汇总系列(四)——反序列化

文件存储安全 java jdk json

不安全的反序列化（Insecure Deserializations）在最新的OWASP Top 10列表中列于A8。这个漏洞的本质和其他漏洞其实基本相同，是在反序列化的过程中未严格控制用户输入，导致DOS或RCE，只是反序列化这个概念可能稍陌生一点，可通过之前文章了解反序列化原理和Weblogic系列漏洞：Weblogic反序列化历史漏洞全汇总。

2019-11-12

1.8K0

Java代码审计汇总系列(二)——XXE注入

xml 网络安全安全 java

OWASP Top 10中的另一个注入漏洞是XML外部实体注入（XXE），它是在解析XML输入时产生的一种漏洞，漏洞原理和黑盒挖掘技巧见之前的文章：XML外部实体（XXE）注入原理解析及实战案例全汇总，这里从代码层角度挖掘XXE漏洞。

2019-11-12

2.3K0

Java代码审计汇总系列(一)——SQL注入

sql 安全 mybatis 网络安全 java

相比黑盒渗透的漏洞挖掘方式，代码审计具有更高的可靠性和针对性，更多的是依靠对代码、架构的理解；使用的审计工具一般选择Eclipse或IDEA；审计工作过程主要有三步：风险点发现——>风险定位追踪——>漏洞利用，所以审计不出漏洞无非就是find：“找不到该看哪些代码”和judge：“定位到代码但判断不出有没有问题”。而风险点发现的重点则在于三个地方：用户输入（入参）处+检测绕过处+漏洞触发处，一般审计代码都是借助代码扫描工具（Fortify/Checkmarx）或从这三点着手。

2019-11-07

3.5K0

Weblogic反序列化历史漏洞全汇总

文件存储 java http https xml

序列化是让Java对象脱离Java运行环境的一种手段，可以有效的实现多平台之间的通信、对象持久化存储。

2019-09-29

6.8K0

没有更多了

社区活动

腾讯技术创作狂欢月

“码”上创作 21 天，分 10000 元奖品池！

Python精品学习库

代码在线跑，知识轻松学

博客搬家 | 分享价值百万资源包

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

技术创作特训营·精选知识专栏

往期视频·千货材料·成员作品最新动态