XStream
关注
分享
扫一扫
文章平均质量分 95
# XStream
Ho1aAs
Tutte le strada portano a roma.
展开
-
『Java安全』XStream 1.4.15反序列化漏洞CVE-2021-21345复现与浅析
一种绕过黑名单、触发造成RCE的姿势XStream ≤ 1.4.15PoCXStream怎么序列化和反序列化PriorityQueue?分析PoC之前先看看XStream是怎么对待PriorityQueue的:PriorityQueue继承了Serializable,因此使用的是SerializableConveter因此在doMarshal和doUnMarshal时会调用write/readObject看PoC使用的是优先级队列,CC链的常客了,写一个demo看看XStream是怎么反序.原创 2022-08-17 10:33:25 · 1738 阅读 · 0 评论 -
『Java安全』XStream 1.4.13反序列化漏洞CVE-2020-26217复现与浅析
该漏洞是对CVE-2013-7285的绕过新增一个内置黑名单converter过滤EventHandler等}新增安全框架开发者可选择自定义黑白名单、以及使用默认安全策略开发者自定义黑白名单默认安全策略。原创 2022-08-15 17:56:00 · 1742 阅读 · 0 评论 -
『Java安全』XStream 1.4-1.4.6&1.4.10反序列化漏洞CVE-2013-7285复现与浅析
# 漏洞简介当XStream反序列化了一个动态代理类,再调用该动态代理类所声明的接口的方法时,就能够触发任意命令执行> XStream序列化和反序列化分析:https://ho1aas.blog.youkuaiyun.com/article/details/126250860> 动态代理:https://ho1aas.blog.youkuaiyun.com/article/details/121647387# 影响版本XStream 1.4-1.4.6、1.4.10............原创 2022-08-12 15:49:55 · 2093 阅读 · 0 评论