这篇文章主要总结学习目前网上关于1.2.68下绕过Autotype的一些方法用到的思路。 前置知识: checkautotype因为是对要进行反序列化的类进行检测的方法 所以我们只需要让其返回Class类型的实例即可 一般会有以下几种情况通过验证: 1.autoTypeCheckHandlers不为 ...
分类:
Web程序 时间:
2020-08-15 22:35:25
阅读次数:
93
文件夹数据库处理逻辑 public class DbFolder { JSONObject root; public DbFolder() { this.root = new JSONObject(); this.root.put("f_id", ""); this.root.put("f_name ...
分类:
Web程序 时间:
2020-08-11 10:43:49
阅读次数:
72
数据预处理 在正式处理数据之前对收集的数据进行预先处理的操作。 原因:不管通过何种手段收集的数据 往往是不利于直接分析的 数据中存在的格式规整的差异。 目的:把不干净的数据 格式不规则的数据 通过预处理清洗变成格式统一规整的结构化数据 技术:MapReduce 预处理的编程思路问题 在使用mr编程的 ...
分类:
Web程序 时间:
2020-08-10 17:26:02
阅读次数:
80
生产上有时需要根据指定内容查找相关文件,比如FastJson反序列化漏洞,通过‘FastJson‘关键字查找有无对应文件,如果有则进行整改。
分类:
其他好文 时间:
2020-08-07 10:05:59
阅读次数:
78
生产上有时需要根据指定内容查找相关文件,比如FastJson反序列化漏洞,通过‘FastJson‘关键字查找有无对应文件,如果有则进行整改。
分类:
其他好文 时间:
2020-08-07 10:05:43
阅读次数:
69
验证和权限 目前我们的API对谁可以编辑或删除代码片段没有任何限制。我们希望有一些更高级的行为,以确保: 代码段始终与创建者相关联。 只有经过身份验证的用户才能创建摘要。 只有摘要的创建者可以对其进行更新或删除。 未经身份验证的请求应具有完全的只读访问权限。 向模型中添加信息 我们将对Snippet ...
分类:
其他好文 时间:
2020-08-06 13:10:44
阅读次数:
103
这周收到外部合作同事推送的一篇文章,【漏洞通告】ApacheDubboProvider默认反序列化远程代码执行漏洞(CVE-2020-1948)通告。按照文章披露的漏洞影响范围,可以说是当前所有的Dubbo的版本都有这个问题。无独有偶,这周在Github自己的仓库上推送几行改动,不一会就收到Github安全提示,警告当前项目存在安全漏洞CVE-2018-10237。可以看到这两个漏洞都是利用反序列
分类:
其他好文 时间:
2020-08-04 14:07:31
阅读次数:
102
本文首发于Seebug Paper,原文链接:https://paper.seebug.org/1280/ 前言 Oracle七月发布的安全更新中,包含了一个Weblogic的反序列化RCE漏洞,编号CVE-2020-14645,CVS评分9.8。 该漏洞是针对于CVE-2020-2883的补丁绕过 ...
分类:
Web程序 时间:
2020-08-04 09:50:14
阅读次数:
103
0x01简介这个漏洞属于java反序列化漏洞的一种,shiro是java的一个开发框架执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。官网漏洞说明:https://issues.apache.org/jira/browse/SHIRO-550ApacheShiro框架提供了记住我(Rememb
分类:
Web程序 时间:
2020-08-03 23:29:07
阅读次数:
115
