摘要:
0x00 前言 最近几天国外安全研究员Soroush Dalili (@irsdl)公布了.NET Remoting应用程序可能存在反序列化安全风险,当服务端使用HTTP信道中的SoapServerFormatterSinkProvider类作为信道接收器并且将自动反序列化TypeFilterLev 阅读全文
posted @ 2019-04-11 19:44
Ivan1ee
阅读(792)
评论(0)
推荐(2)
摘要:
0X00 前言 在.NET处理 Ajax应用的时候,通常序列化功能由JavaScriptSerializer类提供,它是.NET2.0之后内部实现的序列化功能的类,位于命名空间System.Web.Script.Serialization、通过System.Web.Extensions引用,让开发者 阅读全文
posted @ 2019-03-22 23:02
Ivan1ee
阅读(1158)
评论(2)
推荐(2)
摘要:
0X00 前言 Java中的Fastjson曾经爆出了多个反序列化漏洞和Bypass版本,而在.Net领域也有一个Fastjson的库,作者官宣这是一个读写Json效率最高的的.Net 组件,使用内置方法JSON.ToJSON可以快速序列化.Net对象。让你轻松实现.Net中所有类型(对象,基本数据 阅读全文
posted @ 2019-03-22 22:53
Ivan1ee
阅读(1157)
评论(0)
推荐(1)
摘要:
0X00 前言 Newtonsoft.Json,这是一个开源的Json.Net库,官方地址:https://www.newtonsoft.com/json ,一个读写Json效率非常高的.Net库,在做开发的时候,很多数据交换都是以json格式传输的。而使用Json的时候,开发者很多时候会涉及到几个 阅读全文
posted @ 2019-03-11 11:09
Ivan1ee
阅读(2596)
评论(2)
推荐(3)
摘要:
0X00 前言 在.NET 框架中的 XmlSerializer 类是一种很棒的工具,它是将高度结构化的 XML 数据映射为 .NET 对象。XmlSerializer类在程序中通过单个 API 调用来执行 XML 文档和对象之间的转换。转换的映射规则在 .NET 类中通过元数据属性来表示,如果程序 阅读全文
posted @ 2019-03-09 10:50
Ivan1ee
阅读(2117)
评论(5)
推荐(2)
摘要:
不久前Elasticsearch发布了最新安全公告, Elasticsearch Kibana 6.4.3之前版本和5.6.13之前版本中的Console插件存在严重的本地文件包含漏洞可导致拒绝服务攻击、任意文件读取攻击、配合第三方应用反弹SHELL攻击,下文笔者对其漏洞背景、攻击原理和行为进行分析 阅读全文
posted @ 2019-01-02 19:15
Ivan1ee
阅读(1957)
评论(2)
推荐(0)
摘要:
0x01 前言 2018年8月22日,Apache Strust2发布最新安全公告,Apache Struts2存在远程代码执行的高危漏洞(S2-057/CVE-2018-11776),该漏洞由Semmle Security Research team的安全研究员Man YueMo发现。该漏洞是由于 阅读全文
posted @ 2018-12-31 14:25
Ivan1ee
阅读(1179)
评论(0)
推荐(2)
摘要:
0x01 前言 CNCERT前几天发公告称发现Oracle公司出品的基于JavaEE结构的中间件WebLogic产品存在一个远程上传漏洞,并得到了厂商的确认,危害程度评分高达9.8分。鉴于厂商已进行了安全修复,笔者对该漏洞进行了一次分析。WebLogic管理端未授权的两个页面存在任意上传getshe 阅读全文
posted @ 2018-12-28 15:22
Ivan1ee
阅读(890)
评论(0)
推荐(0)
摘要:
0x01 漏洞介绍 Drupal是一个开源内容管理系统(CMS),全球超过100万个网站(包括政府,电子零售,企业组织,金融机构等)使用。两周前,Drupal安全团队披露了一个非常关键的漏洞,编号CVE-2018-7600 Drupal对表单请求内容未做严格过滤,因此,这使得攻击者可能将恶意注入表单 阅读全文
posted @ 2018-12-27 20:27
Ivan1ee
阅读(1769)
评论(0)
推荐(0)
浙公网安备 33010602011771号