长亭百川云 - 文章详情

Hessian 反序列化知一二

俗事吧

42

2024-07-13

序列化和反序列化的过程中经常会产生漏洞,因为反序列化时通常应用程序会按照相应的规则自动调用某些方法,利用 Java 的多态,攻击者可以进行不同功能类的组合,形成具有攻击手段的调用链,从而造成漏洞。

之前的博客中已经介绍了几种 Java 中存在的反序列化漏洞类型,包括 Java 原生反序列化的利用链的详解(ysoserial)、使用了 Java 原生反序列化进行交互的协议(RMI)以及对人类来说可读性较强的 json 格式的序列化数据传输(fastjson)。

本篇将继续探究基于二进制的协议 Hessian 以及相关的反序列化漏洞利用。

懒得复制粘贴了请点击阅读原文查看。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2