Tag Java deserialization
Tìm kiếm bài viết trong Tag Java deserialization
Phân tích CVE-2023-39476 Inductive Automation Ignition Deserialization và vấn đề với Gadget Jython2
Một CVE mới từ một pháp sư trung hoa nào đó. Mình sẽ viết lại vì quá trình reproduce nó khá hay và trắc trở.
0 0 21
Nghiên cứu về Hessian Deserialization trong một buổi chiều đầu thu
Thời tiết chuyển mùa mấy hôm nay khá dễ chịu, mưa gió nhiều mát mẻ không như những ngày nắng nóng trước đó. Rất thích hợp để viết thêm một bài.
0 0 23
Java RMI Phần 3 - Bypass JEP 290 để khai thác Deserialization
Trong phần 1 và phần 2 mình đã đi qua cách RMI hoạt động và một số phương pháp khai thác nó, bạn đọc quan tâm có thể tìm hiểu thêm. Trong phần 3, mình sẽ trình bày phương pháp bypass whitelist nói trê
0 0 22
Phân tích gadget CommonsCollections1 trong ysoserial
Để khai thác lỗ hổng Deserialization, ngoài việc phải kiểm soát được giá trị đầu vào để đưa vào hàm thực hiện deserialize, ta cũng cần phải có một Object mà khi nó được deserialize, nó sẽ gọi tới một
0 0 23
Phân tích CVE-2021-41766: Lỗ hổng java deserialization trên Apache Karaf
Xét ở góc độ cách khai thác của CVE này thì đây không phải là một CVE thú vị và đáng được lưu tâm. Tuy nhiên, trong quá trình nghiên cứu CVE này, mình gặp khá nhiều khó khăn để tái hiện và phân tích l
0 0 35
Java deserialization - Write up MatesCTF 2018 WutFaces
Mở đầu. Bài ctf này là 1 bài rất hay về lỗ hổng java deserialization mà các bạn muốn tìm hiểu về lỗ hổng này nên làm.
0 0 161
Lỗ hổng Java deserialization và những điều có thể bạn chưa biết
Tản mạn. Về lỗ hổng Java deserialization này mình cũng có tìm hiểu một thời gian rồi nhưng mình chưa viết bài viết nào tổng hợp lại về nó cả.
0 0 81