搜狐

FastJson结合二次反序列化绕过黑名单

该利用链可以在 fastjson 多个版本实现 RCE ,并且借助 SignedObject 绕过第一层安全的 resolveClass 对于 TemplatesImpl 类的检查。 说起来还是 AliyunCTF 那道 ezbean 的非预期,很多师傅使用 FastJson#toString 方法触发 TemplatesImpl#getOutputProperties 实现 RCE 。
搜狐

Java安全中Groovy组件从反序列化到命令注入及绕过和在白盒中的排查方法

importjava.io.ByteArrayInputStream; importjava.io.ByteArrayOutputStream; importjava.io.ObjectInputStream; importjava.io.ObjectOutputStream; importjava.lang.annotation ...
GitHub

Redisson项目介绍

Redisson是架设在Redis基础上的一个Java驻内存数据网格(In-Memory Data Grid)。充分的利用了Redis键值数据库提供的一系列优势,基于Java实用工具包中常用接口,为使用者提供了一系列具有分布式特性的常用工具类。使得原本作为协调单机多线程并发程序的工具包获得 ...
itpub.net

IDOC为什么要序列化(serialization)

这里说明的情况是主数据在分发时,相互依赖的的对象同时分发。 这些对象在接收系统(目的系统)创建时是要按一定顺序的。 上面说到的 (for example, purchasing info record with vendor and material). 这purchasing info record须在vendor 和 material创建之后才创建。 Serialization在 ...