当前位置: 首页 > news >正文

web安全渗透测试十大常规项(一):web渗透测试之Fastjson反序列化

news 2025/7/8 0:26:19

渗透测试之Java反序列化

  • 1. Fastjson反序列化
    • 1.1 FastJson反序列化链知识点
    • 1.2 FastJson反序列化链分析
      • 1.3.1 FastJson 1.2.24 利用链分析
      • 1.3.2 FastJson 1.2.25-1.2.47 CC链分析
        • 1.3.2.1、开启autoTypeSupport:1.2.25-1.2.41
        • 1.3.2.2 fastjson-1.2.42 版本绕过
        • 1.3.2.3 fastjson-1.2.43 版本绕过
        • 1.3.2.4 fastjson-1.2.44 版本绕过
        • 1.3.2.5 通杀方案:1.2.25-1.2.47(checkAutotype绕过)

1. Fastjson反序列化

在这里插入图片描述

在这里插入图片描述

1.1 FastJson反序列化链知识点

1、为什么触发方法会存在反序列化?
2、利用链为什么要那样写才能触发?
3、高版本中有哪些防御手段又怎么绕过的?

1.2 FastJson反序列化链分析

基础参考:

https://xz.aliyun.com/t/12728
http://www.lryc.cn/news/390179.html

相关文章:

  • Unity 3D软件下载安装;Unity 3D游戏制作软件资源包获取!
  • PyTorch之nn.Module与nn.functional用法区别
  • 2024.06.24 校招 实习 内推 面经
  • 【C++】using namespace std 到底什么意思
  • 基于ESP32 IDF的WebServer实现以及OTA固件升级实现记录(三)
  • 116-基于5VLX110T FPGA FMC接口功能验证6U CPCI平台
  • Android - Json/Gson
  • 盲信号处理的发展现状
  • 二轴机器人装箱机:重塑物流效率,精准灵活,引领未来装箱新潮流
  • 使用python做飞机大战
  • Python面向对象编程:派生
  • 华为仓颉编程语言
  • 【微信小程序开发实战项目】——如何制作一个属于自己的花店微信小程序(2)
  • 解锁数据资产的无限潜能:深入探索创新的数据分析技术,挖掘其在实际应用场景中的广阔价值,助力企业发掘数据背后的深层信息,实现业务的持续增长与创新
  • Bridging nonnull in Objective-C to Swift: Is It Safe?
  • 算法训练 | 图论Part1 | 98.所有可达路径
  • 【JVM基础篇】垃圾回收
  • Spark join数据倾斜调优
  • YOLOv5初学者问题——用自己的模型预测图片不画框
  • 【linux学习---1】点亮一个LED---驱动一个GPIO
  • Redis分布式锁代码实现详解
  • Day01-02-gitlab
  • PyCharm远程开发配置(2024以下版本)
  • 解决Ucharts在小程序上的层级过高问题
  • 重保期间的网站安全防护:网站整站锁的应用与实践
  • Qt自定义类型
  • UE4_材质_材质节点_DepthFade
  • 如何对GD32 MCU进行加密?
  • 快速了解GPT-4o和GPT-4区别
  • 周末休息日也能及时回应客户消息!微信自动回复神器太就好用啦!