首页
文章
|
文章分类
安全知识
|
安全资讯
|
安全活动
|
安全工具
|
招聘信息
|
内容精选
360网络安全周报
|
安全客季刊
|
专题列表
|
开源项目精选
|
热门标签
漏洞分析
|
每日安全热点
|
网络安全热点
|
恶意软件
|
活动
|
CTF
|
Web安全
|
安全漏洞
|
漏洞
|
安全研究
|
漏洞
SRC导航
内容精选
APP
我要投稿
登录
|
注册
个人主页
我的消息
资料设置
退出登录
首页
安全知识
安全资讯
招聘信息
安全活动
APP下载
.NET高级代码审计系列课
安全客
分享到:
.NET高级代码审计(第一课)XmlSerializer反序列化漏洞
漏洞分析
代码审计
.net
XmlSerializer类转换的映射规则在 .NET 类中通过元数据属性来表示,如果程序开发人员使用Type类的静态方法获取外界数据,并调用Deserialize反序列化xml数据就会触发反序列化漏洞攻击,本文笔者从原理和代码审计的视角做了相关脑图介绍和复现。
云影实验室
2019-03-06 10:03:45
230768
次阅读
1
.NET高级代码审计(第二课) Json.Net反序列化漏洞
漏洞分析
代码审计
.net
用Newtonsoft.Json可轻松实现.Net中所有类型(对象,基本数据类型等)同Json之间的转换,在某些场景下开发者使用DeserializeObject方法序列化不安全的数据,就会造成反序列化漏洞从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。
云影实验室
2019-03-11 10:01:22
229325
次阅读
3
.NET高级代码审计(第三课)Fastjson反序列化漏洞
漏洞分析
代码审计
.net
代码安全
Java中的Fastjson曾经爆出了多个反序列化漏洞和Bypass版本,而在.Net领域也有一个Fastjson的库,作者官宣这是一个读写Json效率最高的的.Net 组件,使用内置方法JSON.ToJSON可以快速序列化.Net对象。
云影实验室
2019-03-13 10:00:21
166138
次阅读
0
.NET高级代码审计(第四课) JavaScriptSerializer反序列化漏洞
漏洞分析
代码审计
.net
在.NET处理 Ajax应用的时候,通常序列化功能由JavaScriptSerializer类提供,但在某些场景下开发者使用Deserialize 或DeserializeObject方法处理不安全的Json数据时会造成反序列化攻击从而实现远程RCE漏洞。
云影实验室
2019-03-20 10:06:56
203392
次阅读
0
.NET高级代码审计(第五课) .NET Remoting反序列化漏洞
代码审计
.net
反序列化
代码安全
最近几天安全研究员@irsdl公布了.NET Remoting应用程序可能存在反序列化安全风险,当服务端使用HTTP信道中的SoapServerFormatterSinkProvider类作为信道接收器并且将自动反序列化TypeFilterLevel属性设置为Full的时候会造成反序列化漏洞。
云影实验室
2019-03-26 10:06:03
212180
次阅读
0
.NET高级代码审计(第六课) DataContractSerializer反序列化漏洞
漏洞分析
.net
反序列化
在某些场景下开发者使用DataContractSerializer.ReadObject读取了恶意的XML数据就会造成反序列化漏洞,从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。
云影实验室
2019-04-02 10:00:26
228866
次阅读
0
.NET高级代码审计(第七课) NetDataContractSerializer反序列化漏洞
漏洞分析
代码审计
.net
反序列化
若要序列化对象使用 WriteObject或者Serialize方法, 若要反序列化XML流使用ReadObject或者Deserialize方法。在某些场景下读取了恶意的XML流就会造成反序列化漏洞,从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。
云影实验室
2019-04-11 10:43:21
190008
次阅读
0
.NET高级代码审计(第八课)SoapFormatter反序列化漏洞
漏洞分析
代码审计
.net
反序列化
SoapFormatter格式化器和下节课介绍的BinaryFormatter格式化器都是.NET内部实现的序列化功能的类,但在某些场景下处理了不安全的SOAP流会造成反序列化漏洞从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。
云影实验室
2019-04-15 10:01:23
148335
次阅读
0
.NET高级代码审计(第九课) BinaryFormatter反序列化漏洞
漏洞分析
代码审计
.net
反序列化
BinaryFormatter和SoapFormatter两个类之间的区别在于数据流的格式不同,其他的功能上两者差不多,使用反序列化不受信任的二进制文件会导致反序列化漏洞从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。
云影实验室
2019-04-16 10:00:34
159390
次阅读
0
.NET高级代码审计(第十课) ObjectStateFormatter反序列化漏洞
漏洞分析
代码审计
.net
反序列化
ObjectStateFormatter一般用于序列化和反序列化状态对象图,使用反序列化不受信任的二进制文件会导致反序列化漏洞从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。
云影实验室
2019-04-17 10:00:58
163094
次阅读
0
云影实验室
