import org.junit.Test; import java.io.*; /** * 对象流 * 序列化 * 反序列化 * * * 要求对象所属的类必须是可序列化的 * 对象的序列化机制 * 作用:用于存储和读取基本数据类型数据或对象的处理 * * @author orz */ public ...
分类:
编程语言 时间:
2020-07-29 21:29:12
阅读次数:
78
前言 这里将fastjson<=1.2.24和fastjson<=1.2.47的版本同时复现。利用的思路都是大致相同的,部分细节忽略。 一、环境搭建和知识储备 1.1、影响版本 漏洞1 CVE-2017-18349 fastjson ? 1.2.24(实际[1.2.22-1.2.24]) 漏洞2 f ...
分类:
Web程序 时间:
2020-07-28 16:51:00
阅读次数:
128
介绍 burpsuite官网上一套不安全的反序列化实验(免费) 地址在 https://portswigger.net/web-security/deserialization/exploiting 本文是在这个实验室学习的记录 有针对实验的解决,也有别的一些 1. 如何识别不安全的反序列化 测试不 ...
分类:
Web程序 时间:
2020-07-27 23:52:26
阅读次数:
171
序列化与反序列化对比 1、常用的优秀序列化使用方式 Newtonsoft.Json //object => string JsonConvert.SerializeObject(object? value); //string => object JsonConvert.DeserializeObj ...
分类:
其他好文 时间:
2020-07-27 15:37:34
阅读次数:
65
0x01 环境 使用vulhub搭建:/vulhub-master/jboss/CVE-2017-7504 漏洞点:http://192.168.255.130:8080/jbossmq-httpil/HTTPServerILServlet 0x02 复现 工具:https://github.com ...
分类:
其他好文 时间:
2020-07-25 23:56:07
阅读次数:
134
介绍 序列化就是将对象转换成字节序列,反序列化就是将字节序列转换成对象。 使用 默认序列化和反序列化 public class Client { public static void main(String[] args) { User user = new User(); user.setUser ...
分类:
编程语言 时间:
2020-07-25 23:40:27
阅读次数:
73
json模块与第三方模块的引入 json模块 序列化 >将python数据类型转化为json类型,不支持元组和集合进行序列化 v1 = [11,'yang',[11,22,33],{'k':5},True] import json v2 = json.dumps(v1) print(v1) 反序列化 ...
分类:
编程语言 时间:
2020-07-24 10:09:07
阅读次数:
120
概述 在理解这个漏洞前,你需要先搞清楚php中serialize(),unserialize()这两个函数。 序列化serialize() 序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象: class S{ public $test="pikachu"; } $s=new S( ...
分类:
Web程序 时间:
2020-07-24 09:22:53
阅读次数:
79