fastjson - JAVA安全网

工具,知识库

Fastjson 渗透测试指北

2021-06-08 sevck 阅读(9850) 评论(1)

Author:Skay-赛博少女作为一个面对fastjson只会弹计算器的彩笔，今天学妹给了一个Fastjson的站点，我发现自己一脸懵逼，打算做一个总结吧，渗透彩笔，轻喷~ 检测阶段检测是否Fastjson [...

漏洞分析

2021-05-31 sevck 阅读(2337) 评论(0)

在看b1ue大佬文章fastjson 1.2.68 autotype bypass的时候，看到的其中一篇文章记录一下。 Author: b1ue 支持的版本：目前来看是可以影响到最新版本（1.2.73）的。细节 ...

漏洞预警

2020-05-29 sevck 阅读(14840) 评论(2)

漏洞描述 FastJSON是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点，...

漏洞分析

2020-05-28 sevck 阅读(4114) 评论(0)

关于漏洞该漏洞和以往的 autotype bypass 不同，要求 gadget 必须继承自 Throwable 异常类，所以常见的 JNDI gadget 就无法在此处使用。所以只能找在异常类中的构造方法、se...

知识库

2020-05-12 sevck 阅读(2041) 评论(0)

沈沉舟@青衣十三楼飞花堂「声明: 文中涉及到的相关漏洞均为官方已经公开并修复的漏洞，涉及到的安全技术也仅用于企业安全建设和安全对抗研究。本文仅限业内技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。」...