common-collections中Java反序列化漏洞致使的RCE原理分析
common-collections中Java反序列化漏洞致使的RCE原理分析
隱形人真忙 · 2015/11/11 22:40安全
0x00 背景
這幾天在zone看到了有人說起了有關於common-collections包的RCE漏洞,而且http://zone.wooyun.org/content/23849給出了具體的原理。做爲一個業餘的安全研究人員,除了會利用以外,還能夠探究一下背後的原理。ide
0x01 原理
Java反序列化致使的漏洞原理上和PHP反序列同樣,也是因爲用戶的輸入能夠控制咱們傳入的對象。若是服務端程序沒有對用戶可控的序列化代碼進行校驗而是直接進行反序列化使用,而且程序中運行一些比較危險的邏輯(如eval,登陸驗證等),就會觸發一些意想不到的漏洞。實際上,這並非什麼新的問題了,有關於Java中的反序列化致使的漏洞能夠看https://speakerdeck.com/player/2630612322be4a2696a31775f2ed005d的slide瞭解一下。spa
相關文章
- 1. common-collections中Java反序列化漏洞致使的RCE原理分析
- 2. Laravel5.7反序列化RCE漏洞分析
- 3. Apache Shiro<=1.2.4反序列化RCE漏洞
- 4. shiro RCE (反序列化漏洞)
- 5. Java 反序列化漏洞原理
- 6. Java反序列化漏洞分析
- 7. java 反序列化 漏洞
- 8. java 反序列化漏洞
- 9. JAVA反序列化漏洞
- 10. Java反序列化漏洞
- 更多相關文章...
- • 在Java程序中使用Redis - Redis教程
- • BASE原理與最終一致性 - NoSQL教程
- • Java Agent入門實戰(三)-JVM Attach原理與使用
- • ☆技術問答集錦(13)Java Instrument原理
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章