首页
文章
|
文章分类
安全知识
|
安全资讯
|
安全活动
|
招聘信息
|
内容精选
360网络安全周报
|
安全客季刊
|
专题列表
|
开源项目精选
|
热门标签
恶意软件
|
每日安全热点
|
网络安全热点
|
漏洞分析
|
安全漏洞
|
活动
|
技术分析
|
安全研究
|
漏洞
|
Web安全
|
漏洞
SRC导航
内容精选
APP
我要投稿
登录
|
注册
个人主页
我的消息
资料设置
退出登陆
首页
安全知识
安全资讯
招聘信息
安全活动
APP下载
.NET高级代码审计系列课
安全客
分享到:
.NET高级代码审计(第一课)XmlSerializer反序列化漏洞
漏洞分析
代码审计
.net
XmlSerializer类转换的映射规则在 .NET 类中通过元数据属性来表示,如果程序开发人员使用Type类的静态方法获取外界数据,并调用Deserialize反序列化xml数据就会触发反序列化漏洞攻击,本文笔者从原理和代码审计的视角做了相关脑图介绍和复现。
360云影实验室
2019-03-06 10:03:45
58876
次阅读
0
.NET高级代码审计(第二课) Json.Net反序列化漏洞
漏洞分析
代码审计
.net
用Newtonsoft.Json可轻松实现.Net中所有类型(对象,基本数据类型等)同Json之间的转换,在某些场景下开发者使用DeserializeObject方法序列化不安全的数据,就会造成反序列化漏洞从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。
360云影实验室
2019-03-11 10:01:22
58439
次阅读
2
.NET高级代码审计(第三课)Fastjson反序列化漏洞
漏洞分析
代码审计
.net
代码安全
Java中的Fastjson曾经爆出了多个反序列化漏洞和Bypass版本,而在.Net领域也有一个Fastjson的库,作者官宣这是一个读写Json效率最高的的.Net 组件,使用内置方法JSON.ToJSON可以快速序列化.Net对象。
360云影实验室
2019-03-13 10:00:21
31399
次阅读
0
.NET高级代码审计(第四课) JavaScriptSerializer反序列化漏洞
漏洞分析
代码审计
.net
在.NET处理 Ajax应用的时候,通常序列化功能由JavaScriptSerializer类提供,但在某些场景下开发者使用Deserialize 或DeserializeObject方法处理不安全的Json数据时会造成反序列化攻击从而实现远程RCE漏洞。
360云影实验室
2019-03-20 10:06:56
23541
次阅读
0
