摘要: 前言 关于java反序列化漏洞的原理分析,基本都是在分析使用Apache Commons Collections这个库,造成的反序列化问题。然而,在下载老外的ysoserial工具并仔细看看后,我发现了许多值得学习的知识。 至少能学到如下内容: 不同反序列化payload玩法灵活运用了反射机制和动态 阅读全文
posted @ 2016-09-11 23:12 Fluorescence 阅读(3229) 评论(0) 推荐(0) 编辑
摘要: 2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用,实现远程代码执行。 然而事 阅读全文
posted @ 2016-09-11 22:52 Fluorescence 阅读(2415) 评论(1) 推荐(0) 编辑
摘要: struts2漏洞原理 在Struts2的Model-View-Controller模式实现以下五个核心组件: 动作-Actions、拦截器-Interceptors、值栈/OGNL、结果/结果类型、视图技术 Struts2的核心是使用的webwork框架,处理 action时通过调用底层的gett 阅读全文
posted @ 2016-09-11 15:52 Fluorescence 阅读(14566) 评论(1) 推荐(0) 编辑