安全客 - 安全资讯平台

代码审计

ThinkPHP6.x 漏洞复现

代码审计

ThinkPHP

反序列化漏洞

查看版本的更新日志发现修正了 sessionid 检查的一处隐患，相关内容，修复代码中主要多了 ctype_alnum($id)，只允许 $id 由字母和数字构成。

H3rmesk1t
2021-11-18 16:30:07

573350次阅读 1

Weblogic

RMI初探——Weblogic CVE-2017-3248反序列化漏洞

Weblogic

反序列化漏洞

该漏洞是继CVE-2015-4852、CVE-2016-0638、CVE-2016-3510之后的又一个重量级反序列化漏洞。

D4ck
2021-09-22 10:01:12

247142次阅读

Weblogic

初识——Weblogic CVE-2016-3510反序列化漏洞

Weblogic

反序列化漏洞

在CVE-2016-0638 漏洞修补之后，安全研究者又发现了其他类似的补丁绕过思路，通过新创建的ObjectInputStream对象进行反序列化。

D4ck
2021-09-03 15:30:02

258251次阅读

Weblogic

忆——Weblogic CVE-2016-0638反序列化漏洞

Weblogic

反序列化漏洞

开始着手对Weblogic历史漏洞进行剖析，周末分析了Weblogic历史上的严重漏洞，一次针对CVE-2015-4852漏洞的补丁绕过。

D4ck
2021-08-27 15:30:57

309049次阅读 2

Weblogic

Weblogic CVE-2021-2394 反序列化漏洞分析

Weblogic

反序列化漏洞

根据漏洞作者描述，这是一个二次反序列化漏洞，是CVE-2020-14756和CVE-2020-14825的调用链相结合组成一条新的调用链来绕过weblogic黑名单列表。

D4ck
2021-08-17 10:00:12

243066次阅读 1

反序列化漏洞

CC第7链HashTable触发点深入分析

反序列化漏洞

CommonsCollections

CC链

CC（CommonsCollections）链系列是Java安全必经之路，复习到CC7的lazyMap2.remove("yy");代码，网上文章解释的不是很清楚，不明白为什么要这样做，于是打算深入做一个分析。

1
2021-08-05 10:00:15

171986次阅读 2

Weblogic

WebLogic T3协议反序列化 0day 漏洞分析

Weblogic

反序列化漏洞

weblogic t3协议指的是weblogic的rmi使用的t3协议，在java rmi中，默认rmi使用的是jrmp协议，weblogic包含了高度优化的RMI实现。

D4ck
2021-05-24 14:30:32

338234次阅读 2

反序列化漏洞

前尘——权限控制下暗藏的杀机

反序列化漏洞

在Java开发中,如果涉及权限如管理员普通用户操作，则需要在接口调用前对用户的身份进行鉴权。

雁不过衡阳.
2021-05-24 10:00:23

268949次阅读

BlackHat2018

详解PHPphar协议对象注入技术，反序列化操作快速入门！

BlackHat2018

反序列化漏洞

PHPphar

近日，在BlackHat 2018大会上公布了一种针对PHP应用程序的全新攻击技术。利用phar文件会以序列化的形式存储用户自定义的meta-data这一特性，拓展了php反序列化漏洞的攻击面。

安胜ANSCEN
2018-10-19 16:30:11

294258次阅读 3