Jackson反序列化漏洞简介(四): 防御和检测方式【系列完结】

之前有段时间在搞jackson反序列化漏洞的检测,网上看到各种各样的文章,很多抄来抄去的,真是辣鸡,虽然我不懂,但也知道他们有些人在胡扯。本系列文章系统地介绍java里的json反序列化漏洞成因、防御方式、检测方式、利用方式。因为本人接触这些不久,如有错误,还请大佬留言指正。

本文是第四篇(最后一篇),讲下如何检测和防御。

继续阅读“Jackson反序列化漏洞简介(四): 防御和检测方式【系列完结】”

Jackson反序列化漏洞简介(三): JsonTypeInfo的用途

之前有段时间在搞jackson反序列化漏洞的检测,网上看到各种各样的文章,很多抄来抄去的,真是辣鸡,虽然我不懂,但也知道他们有些人在胡扯。本系列文章系统地介绍java里的json反序列化漏洞成因、防御方式、检测方式、利用方式。因为本人接触这些不久,如有错误,还请大佬留言指正。

本文是第三篇,讲之前漏掉的一种可以进行漏洞利用的写法。

继续阅读“Jackson反序列化漏洞简介(三): JsonTypeInfo的用途”

Jackson反序列化漏洞简介(二):在反序列化时进行代码执行

之前有段时间在搞jackson反序列化漏洞的检测,网上看到各种各样的文章,很多抄来抄去的,真是辣鸡,虽然我不懂,但也知道他们有些人在胡扯。本系列文章系统地介绍java里的json反序列化漏洞成因、防御方式、检测方式、利用方式。因为本人接触这些不久,如有错误,还请大佬留言指正。

本文是第二篇,讲为什么反序列化时候有被代码执行的风险。

继续阅读“Jackson反序列化漏洞简介(二):在反序列化时进行代码执行”

Jackson反序列化漏洞简介(一):Jackson基本的工作原理

之前有段时间在搞jackson反序列化漏洞的检测,网上看到各种各样的文章,很多抄来抄去的,真是辣鸡,虽然我不懂,但也知道他们有些人在胡扯。本系列文章系统地介绍java里的json反序列化漏洞成因、防御方式、检测方式、利用方式。因为本人接触这些不久,如有错误,还请大佬留言指正。

本文是第一篇,讲讲jackson的基础知识。

继续阅读“Jackson反序列化漏洞简介(一):Jackson基本的工作原理”

git三个小技巧:合并commit,删除已经被合并的分支,维护单向依赖的两个分支

今天准备整理一下git仓库,准备下一期的开发,写一下中间新学到的几个技巧。

继续阅读“git三个小技巧:合并commit,删除已经被合并的分支,维护单向依赖的两个分支”