經過dnslog探測fastjson的幾種方法

0x01 背景 在滲透測試中遇到json數據通常都會測試下有沒有反序列化。然而json庫有fastjson,jackson,gson等等。怎麼判斷後端不是fastjson呢?這就須要構造特定的payload了。html 昨天翻看fastjson源碼時發現了一些能夠構造dns解析且沒在黑名單當中的類,因而順手給官方提了下Issue。有趣的是後續的師傅們討論還挺熱鬧的,我也在此次討論中學習了不少。這篇
相關文章
相關標籤/搜索