会员
周边
众包
新闻
博问
闪存
所有博客
当前博客
我的博客
我的园子
账号设置
简洁模式
...
退出登录
注册
登录
黑岗0x0001
博客园
首页
新随笔
联系
订阅
管理
2021年1月28日
Spring未授权REC利用方式二(env接口/eureka xstream RCE)
摘要: 一、漏洞成因 spring-cloud-starter-netflix-eureka-client组件使用 Xstream 序列化功能,在一定条件下触发REC。 (XStream:XStream是Java类库,用来将对象序列化成XML (JSON)或反序列化为对象。) 二、利用条件 eureka-c
阅读全文
posted @ 2021-01-28 17:55 黑岗0x0001
阅读(7359)
评论(1)
推荐(0)
编辑
公告