Hessian 反序列化知一二
2022-4-29 22:20:40 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

序列化和反序列化的过程中经常会产生漏洞,因为反序列化时通常应用程序会按照相应的规则自动调用某些方法,利用 Java 的多态,攻击者可以进行不同功能类的组合,形成具有攻击手段的调用链,从而造成漏洞。

之前的博客中已经介绍了几种 Java 中存在的反序列化漏洞类型,包括 Java 原生反序列化的利用链的详解(ysoserial)、使用了 Java 原生反序列化进行交互的协议(RMI)以及对人类来说可读性较强的 json 格式的序列化数据传输(fastjson)。

本篇将继续探究基于二进制的协议 Hessian 以及相关的反序列化漏洞利用。

懒得复制粘贴了请点击阅读原文查看。


文章来源: https://mp.weixin.qq.com/s?__biz=Mzg4Mzc2OTIzOA==&mid=2247483659&idx=1&sn=9602bb61263d867ca07e03aa26428926&chksm=cf432bf2f834a2e4eb5d484d855b7a6aae06782c855160efbad48accb33f5b8509404da4381c&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh