腾讯云开发者社区-腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

卓文见识

专栏作者

44

文章

239627

阅读量

41

订阅数

从Kryo反序列化到Marshalsec框架到CVE挖掘

文件存储安全 https json spring

Kryo 是一个快速序列化/反序列化工具，其使用了字节码生成机制。Kryo 序列化出来的结果，是其自定义的、独有的一种格式，不再是 JSON 或者其他现有的通用格式；而且，其序列化出来的结果是二进制的（即 byte[]；而 JSON 本质上是字符串 String），序列化、反序列化时的速度也更快。

2020-05-07

2.2K0

IDEA动态调试(二)——反序列化漏洞(Fastjson)

文件存储网络安全安全 java json

成因：在把其他格式的数据反序列化成java类的过程中，由于输入可控，导致可以执行其他恶意命令，但追根究底是需要被反序列化的类中重写了readObject方法，且被重写的readObject方法/调用链中被插入了恶意命令。

2020-03-16

2.2K0

IDEA动态调试(三)——反序列化漏洞(xml+Yaml)

文件存储 xml json java html

大多数 java 项目用来处理数据基本上都是xml 和 json 两种格式，上篇讲了fastjson的反序列化，另一个json处理库jackson的漏洞原理和利用方式类似。

2020-03-12

2.7K0

Java代码审计汇总系列(四)——反序列化

文件存储安全 java jdk json

不安全的反序列化（Insecure Deserializations）在最新的OWASP Top 10列表中列于A8。这个漏洞的本质和其他漏洞其实基本相同，是在反序列化的过程中未严格控制用户输入，导致DOS或RCE，只是反序列化这个概念可能稍陌生一点，可通过之前文章了解反序列化原理和Weblogic系列漏洞：Weblogic反序列化历史漏洞全汇总。

2019-11-12

1.8K0

RFD（反射型文件下载）漏洞原理及实战案例全汇总

安全 json php html https

RFD，即Reflected File Download反射型文件下载漏洞，是一个2014年来自BlackHat的漏洞。这个漏洞在原理上类似XSS，在危害上类似DDE：攻击者可以通过一个URL地址使用户下载一个恶意文件，从而危害用户的终端PC。

2019-09-29

3.7K2

JSON相关漏洞（Hijacking+Injection）挖掘技巧及实战案例全汇总

javascript 安全 json html 网络安全

本文一是在为测试过程中遇到json返回格式时提供测试思路，二是几乎所有国内的资料都混淆了json和jsonp的区别——这是两种技术；以及json和jsonp hijacking的区别——这是两个漏洞，这里做个解释。

2019-09-29

7.3K0

没有更多了

社区活动

腾讯技术创作狂欢月

“码”上创作 21 天，分 10000 元奖品池！

Python精品学习库

代码在线跑，知识轻松学

博客搬家 | 分享价值百万资源包

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

技术创作特训营·精选知识专栏

往期视频·千货材料·成员作品最新动态