会员
周边
捐助
新闻
博问
闪存
赞助商
所有博客
当前博客
我的博客
我的园子
账号设置
简洁模式
...
退出登录
注册
登录
Afant1
About:安全研究员
Contact:
twitter
博客园
首页
新随笔
联系
订阅
管理
2018年12月31日
Java反序列化之Jackson-databind(CVE-2017-17485)
摘要: 这个洞的cve编号:CVE 2017 17485,漏洞环境就如第一个链接那样,jdk需要在jdk 1.8以上。 先看一下Jackson databind的用法,说白了就是将json转换成对象。 test legit.json代码如下 运行结果如图: 如果注入的json代码如下代码,就会引入FileS
阅读全文
posted @ 2018-12-31 20:58 Afant1
阅读(7254)
评论(0)
推荐(0)
编辑
公告