首页
文章
|
文章分类
安全知识
|
安全资讯
|
安全活动
|
安全工具
|
招聘信息
|
内容精选
360网络安全周报
|
安全客季刊
|
专题列表
|
热门标签
活动
|
CTF
|
安全活动
|
恶意软件
|
每日安全热点
|
网络安全热点
|
Web安全
|
漏洞预警
|
渗透测试
|
Pwn
|
SRC导航
招聘
内容精选
投稿
登录
注册
主页2
个人主页
消息
我的消息
设置
个人设置
关闭
退出登录
首页
安全知识
安全资讯
招聘信息
安全活动
APP下载
.NET高级代码审计系列课
安全客
分享到:
.NET高级代码审计(第一课)XmlSerializer反序列化漏洞
漏洞分析
代码审计
.net
XmlSerializer类转换的映射规则在 .NET 类中通过元数据属性来表示,如果程序开发人员使用Type类的静态方法获取外界数据,并调用Deserialize反序列化xml数据就会触发反序列化漏洞攻击,本文笔者从原理和代码审计的视角做了相关脑图介绍和复现。
云影实验室
2019-03-06 10:03:45
414786
次阅读
1
.NET高级代码审计(第二课) Json.Net反序列化漏洞
漏洞分析
代码审计
.net
用Newtonsoft.Json可轻松实现.Net中所有类型(对象,基本数据类型等)同Json之间的转换,在某些场景下开发者使用DeserializeObject方法序列化不安全的数据,就会造成反序列化漏洞从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。
云影实验室
2019-03-11 10:01:22
432810
次阅读
3
.NET高级代码审计(第三课)Fastjson反序列化漏洞
漏洞分析
代码审计
.net
代码安全
Java中的Fastjson曾经爆出了多个反序列化漏洞和Bypass版本,而在.Net领域也有一个Fastjson的库,作者官宣这是一个读写Json效率最高的的.Net 组件,使用内置方法JSON.ToJSON可以快速序列化.Net对象。
云影实验室
2019-03-13 10:00:21
311471
次阅读
.NET高级代码审计(第四课) JavaScriptSerializer反序列化漏洞
漏洞分析
代码审计
.net
在.NET处理 Ajax应用的时候,通常序列化功能由JavaScriptSerializer类提供,但在某些场景下开发者使用Deserialize 或DeserializeObject方法处理不安全的Json数据时会造成反序列化攻击从而实现远程RCE漏洞。
云影实验室
2019-03-20 10:06:56
357091
次阅读
.NET高级代码审计(第五课) .NET Remoting反序列化漏洞
代码审计
.net
反序列化
代码安全
最近几天安全研究员@irsdl公布了.NET Remoting应用程序可能存在反序列化安全风险,当服务端使用HTTP信道中的SoapServerFormatterSinkProvider类作为信道接收器并且将自动反序列化TypeFilterLevel属性设置为Full的时候会造成反序列化漏洞。
云影实验室
2019-03-26 10:06:03
371938
次阅读
.NET高级代码审计(第六课) DataContractSerializer反序列化漏洞
漏洞分析
.net
反序列化
在某些场景下开发者使用DataContractSerializer.ReadObject读取了恶意的XML数据就会造成反序列化漏洞,从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。
云影实验室
2019-04-02 10:00:26
322470
次阅读
.NET高级代码审计(第七课) NetDataContractSerializer反序列化漏洞
漏洞分析
代码审计
.net
反序列化
若要序列化对象使用 WriteObject或者Serialize方法, 若要反序列化XML流使用ReadObject或者Deserialize方法。在某些场景下读取了恶意的XML流就会造成反序列化漏洞,从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。
云影实验室
2019-04-11 10:43:21
279331
次阅读
.NET高级代码审计(第八课)SoapFormatter反序列化漏洞
漏洞分析
代码审计
.net
反序列化
SoapFormatter格式化器和下节课介绍的BinaryFormatter格式化器都是.NET内部实现的序列化功能的类,但在某些场景下处理了不安全的SOAP流会造成反序列化漏洞从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。
云影实验室
2019-04-15 10:01:23
210482
次阅读
.NET高级代码审计(第九课) BinaryFormatter反序列化漏洞
漏洞分析
代码审计
.net
反序列化
BinaryFormatter和SoapFormatter两个类之间的区别在于数据流的格式不同,其他的功能上两者差不多,使用反序列化不受信任的二进制文件会导致反序列化漏洞从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。
云影实验室
2019-04-16 10:00:34
222699
次阅读
.NET高级代码审计(第十课) ObjectStateFormatter反序列化漏洞
漏洞分析
代码审计
.net
反序列化
ObjectStateFormatter一般用于序列化和反序列化状态对象图,使用反序列化不受信任的二进制文件会导致反序列化漏洞从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。
云影实验室
2019-04-17 10:00:58
235500
次阅读