序列化

0x00 Apache Shiro 这个组件的漏洞很久之前就爆出来了，但是最近工作中又遇到了，刚好最近也在看Java反序列化的东西，所以决定拿出来再分析一下，期间也遇到了一些奇怪的问题。 网上的分析文章中大部分都是手动添加了commons-collections4-4.0的依赖，目的是为了使用yso…

简介 Dubbo是阿里巴巴公司开源的一个高性能优异的服务框架，使得应用可通过高性能的RPC实现服务的输出和输入功能，可以和Spring框架无缝集成。它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡，以及服务自动注册和发现。 概述 2020年06月23日， Apache Dubbo 官…

1.1 状态 完成漏洞挖掘条件分析、漏洞复现。 1.2 漏洞分析 存在安全缺陷的版本：Apache Commons Collections3.2.1以下，【JDK版本：1.7.0_80】Apache Maven 3.6.3。 POC核心代码： package com.patrilic.vul;imp…

一、简介 虽然网上已经有很多文章对这个组件的反序列化漏洞进行分析，但在这里还是记录一下。毕竟，这对Java反序列化漏洞的发展意义重大。 Apache Commons Collections是Java应用开发中一个非常常用的工具库，它添加了许多强大的数据结构，简化了Java应用程序的开发，已经成为Ja…

题目如下： 漏洞解析： (上图代码第11行正则表达式应改为：’/O:d:/’) 题目考察对php反序列化函数的利用。在第10行 loadData() 函数中，我们发现了 unserialize 函数对传入的 $data 变量进行了反序列。在反序列化前，对变量内容进行了判断，先…