摘要:
fastjson反序列化的一些前置知识 我们都知道fastjson触发漏洞的点在setter或者getter,以及fastjson反序列化存在parse和parseObject两个方法,在我最开始了解fastjson反序列化时看到一篇文章给出了一个说法: "parse只触发setter,parseO 阅读全文
posted @ 2021-05-08 15:11
Escape-w
阅读(3565)
评论(0)
推荐(0)
摘要:
文章首发于先知 https://xz.aliyun.com/t/8445 很久没写博客了,打理一下 0x00:背景 shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞,shiro框架在java web登录认证中广泛应用,每一次目标较多的情况下几乎都可以遇见shiro,而因其payload 阅读全文
posted @ 2021-05-08 14:56
Escape-w
阅读(2920)
评论(0)
推荐(0)
浙公网安备 33010602011771号