2021年5月8日
fastjson反序列化漏洞始末
摘要: fastjson反序列化的一些前置知识 我们都知道fastjson触发漏洞的点在setter或者getter,以及fastjson反序列化存在parse和parseObject两个方法,在我最开始了解fastjson反序列化时看到一篇文章给出了一个说法: "parse只触发setter,parseO 阅读全文
posted @ 2021-05-08 15:11 Escape-w 阅读(2876) 评论(0) 推荐(0) 编辑
深入利用shiro反序列化漏洞
摘要: 文章首发于先知 https://xz.aliyun.com/t/8445 很久没写博客了,打理一下 0x00:背景 ​ shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞,shiro框架在java web登录认证中广泛应用,每一次目标较多的情况下几乎都可以遇见shiro,而因其payload 阅读全文
posted @ 2021-05-08 14:56 Escape-w 阅读(2670) 评论(0) 推荐(0) 编辑