网络安全
未读
Kerberos 协议认证流程和相关安全问题
概述 介绍 Kerberos是一种网络身份验证协议,在通过密钥加密技术为客户端/服务器应用程序提供身份验证,主要用在域环境下的身份验证,支持windows和linux,使用88端口进行认证,使用464端口进行密码重设
网络安全
未读
JAVA安全-反序列化系列-含URLDNS链分析
序列化与反序列化 序列化(Serialization) 序列化是将数据结构或对象状态转换为可以存储或传输的格式的过程。这种格式通常是平台无关的,并且可以在稍后重新构造回原始的对象结构。序
网络安全
未读
云安全-K8s集群渗透手法总结
什么是Kubernetes Kubernetes国内又叫做k8s,是一个开源的,用于编排云平台中多个主机上的容器化的应用,目标是让部署容器化的应用能简单并且高效的使用, 提供了应用部署,规划,更新,维护的一种机制。其核心的特点就是能够自主的管理容器来保证云平台中的容器按照用户的期望状态运行着,管理员
网络安全
未读
WebLogic T3协议反序列化命令执行漏洞
一、漏洞原理简介 漏洞概述: CVE-2018-2628是Oracle WebLogic Server(WLS)核心组件中的一个反序列化命令执行漏洞。 允许未授权的用户通过T3协议在远程服务器上执行任意命令,从而可能完全控制受影响的服务器。 漏洞原理:
网络安全
未读
一个诡异的json反序列化问题
前言 前段时间遇到了一个诡异的json反序列化问题,感觉挺有意思的,现在拿出来跟大家一起分享一下,希望对你会有所帮助。 案发现场 最近在做商品秒杀系统,写了一个filter,获取用户请求的header中获取JWT的token信息。 然后根据token信息,获取到用户信息。 在转发到业务接口之前,将用
漏洞预警 | 云匣子反序列化漏洞
0x00 漏洞编号 暂无 0x01 危险等级 高危 0x02 漏洞概述 云匣子是支持手机运维的云堡垒机,主要功能包括:云资产管理、账号统一认证管理、权限管理、应用管理、运维。云匣子为用户提供了一个简洁、高效和安全的管理环境。
网络安全
未读
JVM源码分析之不保证顺序的Class.getMethods
概述 本文要说的内容是今天公司有个线上系统踩了一个坑,并且貌似还造成了一定的影响,后来系统相关的人定位到了是java.lang.Class.getMethods返回的顺序可能不同机器不一样,有问题的机器和没问题的机器这个返回的方法列表是不一样的,后面他们就来找到我求证是否jdk里有这潜规则 本来这个
网络安全
未读
某系统艰难的反序列化
1.自定义反序列化 在它的某个页面中,发现了自定义反序列化,这个页面好就好在它会返回报错堆栈的序列化数据,方便debug。 URLDNS探测结果如下。 cc31or321 ajw JRE8u20 fastjson windows cb17 bsh20b4 De
网络安全
未读
经典的Shiro反序列化
0x01、前言 相信大家总是面试会问到java反序列化,或者会问到标志性的漏洞,比如shiro反序列化,或者weblogic反序列化漏洞。 那我就这篇文章为大家讲解一下,不懂的哥哥直接背一下,理解一下就好了。 至于为什么要选择shiro反序列化呢,不讲weblogic呢?
网络安全
未读
Nacos JRaft Hessian 反序列化分析详情
0x00 前言 5月25日 Nacos 发布一条安全公告,声称其在 2.2.3 和 1.4.6 两个大版本修复了 7848 端口下一处 Hessian 反序列化漏洞;网上有许多分析,但没有一篇分析能够把问题阐述清楚且解决掉,于是写下这篇文章,仅做记录。 0x01 漏洞分析