2017年反序列化漏洞年度报告

在2017年绿盟科技NS-SRC 处理的漏洞应急中有很大一部分是反序列化漏洞,和以往漏洞形式不一样的是,2017年则多出了fastjson、Jackson等,还有关于XMLDecoder和XStream的应急,本报告重点回顾2017年绿盟科技重点应急,影响面非常广的那些反序列化漏洞。从这个报告中能看出反序列化漏洞的发展,攻击方和防御方不停的对抗过程,bypass和反bypass在这个过程中体现得淋漓尽致。

阅读全文 “2017年反序列化漏洞年度报告” »

Struts2方法调用远程代码执行漏洞分析

2016年4月21日Struts2官方发布两个CVE,其中CVE-2016-3081官方评级为高。主要原因为在用户开启动态方法调用的情况下,会被攻击者实现远程代码执行攻击。从目前搜索的情况来看,国内开启这个功能的网站不在少数,所以这个“Possible Remote Code Execution”漏洞的被打的可能性还是很高的。 阅读全文 “Struts2方法调用远程代码执行漏洞分析” »

Struts框架s2-29远程代码执行漏洞猜想

在315打假日,知名的Java Web框架Struts2发布了新一轮的安全公告,其中最惹国内眼球的,当属这个s2-29——Possible Remote Code Execution vulnerability,可能存在远程代码执行漏洞。对于这个漏洞我第一时间就是一直在跟踪,但是由于官方透露的细节是在台上,所以这里我只能通过github上代码的变更信息,来猜测这个漏洞点。所以本篇文章仅供各位参考。 阅读全文 “Struts框架s2-29远程代码执行漏洞猜想” »