某金融交易平台引入事件溯源后,获得了审计日志和时间旅行能力,但事件流过大导致加载时间延长。团队需解决事件结构变更导致的反序列化问题。文章探讨了CQRS与事件溯源的结合,提供了事件存储设计到投影重建的实现路径,并强调事件版本化、快照策略及最终一致性处理的重要性。
在ASP.NET Core中,使用System.Text.Json框架简化了序列化和反序列化的实现。开发者可以自定义配置,如忽略null字段和时间格式。文章介绍了如何使用自定义转换器处理枚举和数值类型,确保JSON与模型类之间的正确转换,并提供了性能测试示例,比较Utf8JsonReader与JsonNode的效率。
Workflow DevKit 现在支持自定义类序列化,允许在工作流和步骤函数之间传递自定义类实例。开发者通过实现两个静态方法,可以定义类的序列化和反序列化方式,从而提升开发体验。
MAF 提供对话持久化能力,使 Agent 能够跨会话和设备保存与恢复对话状态,解决企业应用中的对话连续性问题。核心方法包括对话状态的序列化和反序列化,提升服务效率和用户满意度。
Java反序列化中的CC2链利用Apache Commons Collections库,通过PriorityQueue的反序列化触发恶意代码执行。攻击者构造恶意类,利用TemplatesImpl、InvokerTransformer和TransformingComparator,通过反射机制在反序列化时执行任意命令。
CVE-2025-53770是一个严重的SharePoint远程代码执行漏洞,攻击者可通过Referer头绕过身份验证,利用反序列化漏洞进行控制。该漏洞影响约235,000个实例,CVSS评分为9.8,需立即部署补丁以防止利用。
本文探讨了如何通过Java中的HashMap和URL类触发DNS请求,分析了反序列化过程中的hashCode计算及其对DNS请求的影响。通过代码示例,展示了在未反序列化情况下直接触发请求的方法,以及通过反序列化确保请求发生的方式。
本文探讨了Java反序列化漏洞的利用链,重点分析了URLDNS和TransformedMap链。通过对HashMap和AnnotationInvocationHandler序列化过程的分析,揭示了如何利用反序列化漏洞实现远程代码执行。文章强调了多态特性在攻击中的关键作用,并提供了相关代码示例。
本文分析了Commons-Collections 4.0中的安全漏洞,重点讨论了ChainedTransformer和TransformingComparator的实现,展示了如何利用优先队列和反序列化漏洞执行恶意代码,强调了代码审计和安全性的重要性,并提醒遵循网络安全法。
序列化是将内存对象转换为字节流,反序列化则是将字节流转换为对象,广泛应用于文件存储和网络传输。常见的序列化协议有XML、JSON和Protobuf。在Java中,序列化需要实现Serializable接口,并使用ObjectOutputStream和ObjectInputStream进行操作。反序列化存在安全风险,攻击者可能利用可控类执行恶意代码。
本文讨论了THINKPHP框架中的反序列化漏洞,介绍了反序列化的起点、跳板和终点,以及常用的魔术方法。强调在审计时需识别可控文件和变量,以便利用反序列化漏洞。
本文探讨了Java反序列化漏洞的黑盒挖掘方法,重点分析了fastjson和shiro的反序列化漏洞。通过判断数据包格式、版本和利用链,分享了具体的攻击手段及绕过WAF的技巧,强调了技术信息的参考性质及使用时的谨慎。
Fastjson是一个Java库,用于在Java对象与JSON格式之间进行转换。它支持动态解析和反序列化,但在处理@type字段时可能存在安全漏洞,可能导致恶意代码执行。使用时需注意类的构造函数及getter/setter方法的定义。
Apache Commons Collections存在反序列化漏洞,利用TransformedMap和InvokerTransformer通过反射执行恶意代码。攻击者可构造特定Map触发反序列化,执行系统命令。该漏洞影响JDK 1.8.0_8u71及以下版本,需谨慎处理。
TensorRT插件通过版本和命名空间扩展功能,简化自定义层与插件的映射。注册插件时需指定名称、版本和命名空间,以避免冲突。TensorRT 10引入新接口,硬编码命名空间,确保插件在反序列化时正确匹配。
本文记录了作者首次使用CodeQL进行代码审计的过程,介绍了CodeQL的基本功能和特点,特别是其对代码上下文的理解能力。作者审计了一个使用Apache Shiro的开源项目,发现了反序列化漏洞和SQL注入问题,展示了CodeQL在漏洞检测中的应用。
某客户发现攻击者利用CVE-2017-5638漏洞进行攻击,经过分析确认攻击失败。攻击源IP来自印度,反制后发现其搭建了Jboss服务并存在反序列化漏洞,成功获取服务器root权限。进一步调查发现与挖矿相关的恶意文件和进程,确认该主机被挖矿团伙控制,严重影响正常业务。
近年来,Java反序列化漏洞被广泛利用,CC1攻击链通过构造恶意对象实现远程代码执行。攻击者利用Commons Collections库的方法,精心安排对象调用以达成攻击。本文分析了CC1攻击链的原理和漏洞机制,强调了安全知识的重要性。
本文分析了漏洞的调用流程,包括参数传递、反序列化器创建与注册、字段类型动态解析等,最终导致远程JNDI服务的命令执行。
本文分析了漏洞的序列化与反序列化过程,指出AES加密使用默认密钥是主要原因。序列化流程为:序列化 -> AES加密 -> Base64编码;反序列化流程为:Base64解码 -> AES解密 -> 反序列化。
完成下面两步后,将自动完成登录并继续当前操作。
