上午 @tomato 分享的Fastjson的POC，之前在vulhub下测试过，就是打不了。后来我们发现java 8u121（ Java™ SE Development Kit 8, Update 121 Release Not... ）进行了更新，增加了 com.sun.jndi.rmi.object.trustURLCodebase 选项，只有设置了这个选项为True的时候才能正常使用URL进行class的加载。 之前我一直对反序列化这块比较模糊，fastjson这个Payload其实和传统的反序列化有点区别。以前反序列化是出现在rmi通信过程中，而这个POC虽然也用到了rmi，但是是利用JNDI其能加载外部class的特点来执行的代码，和RMI其实没太大关系。 之前有很多同学说Java的知识我们提到的比较少，所以可能会慢慢增加一些Java的知识分享。 刚正常看到有几篇文章也在说这个事儿，分享一下： Apache Commons Fileupload cve分析和复习 Spring Security OAuth 代码执行漏洞和分析 CVE-2013-6430 Spring mvc xss学习和分析 Spring 框架的反序列化漏洞

fastjson的最佳利用姿势是通过JNDI注入的方式去利用，使用marshalsec中Jackson的利用模块生成payload。 {"@type":"com......

学习java cms代码审计小结： 1.git上下载回来源码，发现可读代码少得可怜，原来是用的maven封装成jar包，需要反编译一下才能看到。也可以在pom.xml里看依赖的包去mav......

【活动主题】通用Web程序安全架构/CVE分析投稿活动 【活动时间】2017年9月4日-10月8号 【活动范围】先知安全技术社区@知识星球【代码审计】 【活动内容】活动期间，针对某特定通用......

HITCON 2017 的一些议题 ~ 不知道这图里究竟说了啥： 😂

一份来自【代码审......

请教host头类型的XSS如何利用？ <?php $a = $_SERVER['HTTP_HOST']; echo "<scrip......

ThinkPHP3.......

先知XSS挑战赛 -......

这是一个很有趣的问题。登录的时候有的用可解密的加密方式，比如直接RSA，或者用RSA交换过密钥的AES；也有网站直接用md5这样的哈希算法对密码进行“加密”。 前者有个典型的例子： [ 转载 ] 解开人人网登录密码的 RSA 加密 | 离别歌 我博客仅有的两篇转载之一。 后者也有个典型的例子：discuz 。 不过后者却是没办法检测密码的合规性，所以一般有这个需求的企业都考虑用前者，或者直接在前端进行验证。 另外，95%看起来像base64却又解出来是乱码的字符串，其实就是base64。只不过是加密过的，所以字符是乱的。 所以你说的看到很多大型网站抓包发现他们的加密方式类似base64，我觉得应该就是后者。