09 2022 档案

代码审计(Java)——WebGoat_InsecureDeserialization
摘要:level-5 找到java文件,可以看到传入的token经过64解码后输入导对象输入流中,然后没有加限制直接readObject进行了反序列化操作,确实存在漏洞点~ package org.owasp.webgoat.plugin; import java.io.*; import java.ut 阅读全文
posted @ 2022-09-22 11:11 wavesky 阅读(99) 评论(0) 推荐(0) 编辑
CVE-2017-12149 JBoss JMXInvokerServlet 反序列化漏洞
摘要:一、漏洞概述 2017年8月30日,厂商Redhat发布了一个JBOSSAS 5.x 的反序列化远程代码执行漏洞通告。该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的 阅读全文
posted @ 2022-09-18 21:26 wavesky 阅读(266) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示