腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
返回腾讯云官网
卓文见识
专栏作者
举报
44
文章
238887
阅读量
41
订阅数
订阅专栏
申请加入专栏
全部文章
安全
网络安全
https
html
文件存储
php
java
http
json
xml
sql
网站
编程算法
python
腾讯云测试服务
javascript
android
数据库
jsp
jquery
github
tomcat
tcp/ip
费用中心
负载均衡
bash
servlet
node.js
css
access
打包
ide
git
jar
struts
bash 指令
spring
访问管理
命令行工具
SSL 证书
开源
缓存
黑客
爬虫
shell
jdk
正则表达式
mybatis
dubbo
数据分析
windows
安全漏洞
搜索文章
搜索
搜索
关闭
从漏洞挖掘角度分析fastjson1.2.80 Bypass
文件存储
网络安全
安全
java
编程算法
Fastjson中parse方法或者parseObject可以将JSON串转化成Java对象,json数据外部可控的情况下可能出现fastjson反序列化漏洞。
Jayway
2022-08-30
1.4K
0
[CVE-2020-1948] Apache Dubbo Provider反序列化漏洞复现及分析
https
文件存储
html
dubbo
github
Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
Jayway
2020-07-01
2.3K
0
Python安全之反序列化——pickle/cPickle
文件存储
编程算法
网络安全
安全
python
Python中有两个模块可以实现对象的序列化,pickle和cPickle,区别在于cPickle是用C语言实现的,pickle是用纯python语言实现的,用法类似,cPickle的读写效率高一些。使用时一般先尝试导入cPickle,如果失败,再导入pickle模块。
Jayway
2020-06-02
2.9K
0
CTF系列——DASCTF四月春季赛Writeup
文件存储
编程算法
https
费用中心
html
很久没正式打CTF,周末抽空参加了下安恒四月赛的DASCTF,个别题目质量还是蛮高的,这里把做出来的和赛后补充的做个记录。
Jayway
2020-05-09
4.7K
1
从Kryo反序列化到Marshalsec框架到CVE挖掘
文件存储
安全
https
json
spring
Kryo 是一个快速序列化/反序列化工具,其使用了字节码生成机制。Kryo 序列化出来的结果,是其自定义的、独有的一种格式,不再是 JSON 或者其他现有的通用格式;而且,其序列化出来的结果是二进制的(即 byte[];而 JSON 本质上是字符串 String),序列化、反序列化时的速度也更快。
Jayway
2020-05-07
2.2K
0
IDEA动态调试(二)——反序列化漏洞(Fastjson)
文件存储
网络安全
安全
java
json
成因:在把其他格式的数据反序列化成java类的过程中,由于输入可控,导致可以执行其他恶意命令,但追根究底是需要被反序列化的类中重写了readObject方法,且被重写的readObject方法/调用链中被插入了恶意命令。
Jayway
2020-03-16
2.2K
0
IDEA动态调试(三)——反序列化漏洞(xml+Yaml)
文件存储
xml
json
java
html
大多数 java 项目用来处理数据基本上都是xml 和 json 两种格式,上篇讲了fastjson的反序列化,另一个json处理库jackson的漏洞原理和利用方式类似。
Jayway
2020-03-12
2.6K
0
Python代码审计汇总
python
文件存储
安全
sql
其中subprocess较为常见,防御办法需保证shell=True未设置 转义变量:Python 2.x使用pipes.quote(),Python 3.3或更高版本使用shlex.quote();错误示例代码:
Jayway
2020-02-26
2.2K
0
Java代码审计汇总系列(四)——反序列化
文件存储
安全
java
jdk
json
不安全的反序列化(Insecure Deserializations)在最新的OWASP Top 10列表中列于A8。这个漏洞的本质和其他漏洞其实基本相同,是在反序列化的过程中未严格控制用户输入,导致DOS或RCE,只是反序列化这个概念可能稍陌生一点,可通过之前文章了解反序列化原理和Weblogic系列漏洞:Weblogic反序列化历史漏洞全汇总。
Jayway
2019-11-12
1.8K
0
Weblogic反序列化历史漏洞全汇总
文件存储
java
http
https
xml
序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。
Jayway
2019-09-29
6.8K
0
DDE注入(CSV)漏洞原理及实战案例全汇总
文件存储
命令行工具
网络安全
安全
在渗透中遇到导出功能时,会如何进行测试?任意文件下载?或者越权查看?很多人很容易忽略的是DDE注入:导出格式为csv,xls时,或许你可以尝试构造这个漏洞,它不会对网站本身产生危害,但会对终端用户造成任意OS命令执行等危害。
Jayway
2019-09-29
8.7K
0
没有更多了
社区活动
腾讯技术创作狂欢月
“码”上创作 21 天,分 10000 元奖品池!
立即发文
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档