标签 Java安全 下的文章:

Shiro Padding Oracle Attack 反序列化
发表于: | 分类: Web渗透,代码审计 | 评论:0 | 阅读: 73
拖更一年之际2333我以为这辈子只有在CTF中才会遇到Padding Oracle Attack和CBC字节翻转攻击,不想Shiro爆出了利用场景。我所理解的Padding Oracle Attack和CBC字节翻转Shiro自1.2.5版本开始使用动态key,可...

阅读全文>>

FastJson反序列化的前世今生
发表于: | 分类: 技术分享,代码审计 | 评论:2 | 阅读: 3864
0x00 前言fastjson是一个由alibaba开源的高性能且功能非常完善的JSON库,解决JSON数据处理的业务问题。应用范围非常广,是国内外流行的反序列化依赖库。截止20181126,Fastjson最新版本是1.2.51。使用老版本的Fastjson可能...

阅读全文>>

CVE-2018-11040: Spring MappingJackson2JsonView自动渲染JSONP导致JSONP劫持
发表于: | 分类: 技术分享 | 评论:0 | 阅读: 1412
描述MappingJackson2JsonView可自动渲染JsonView,当使用MappingJackson2JsonView配置应用,自动获取jsonp和callback参数使json数据自动转换成jsonp格式数据,支持跨域请求Demo@RequestMa...

阅读全文>>