Rome Gadget Learn 0x01. Rome ROME 是一个可以兼容多种格式的 feeds 解析器，可以从一种格式转换成另一种格式，也可返回指定格式或 Java 对象。ROME 兼容了 RSS (0.90, 0.91, 0.92, 0.93, 0.94, 1.0, 2.0), Atom 0.3 以及 Atom 1.0 feeds 格式…

Java安全杂烩（二） Fastjson反序列化 Fastjson简介 Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。Fastjson在阿里巴巴大规模使用，在数万台服务器上部署，Fastjson在业界被广泛接受。在20…

Java安全杂烩（一） 0x01.JNDI在RMI中协议面临的攻击面 在RMI中，服务端可以绑定一个对象，客户端查找该对象时以序列化数据返回，服务端也同样支持绑定对象的引用，返回给客户端指定地址以获得这个对象 如下图所示，我们构建一个恶意的服务端，并且绑定了一个对象引用（注意这里的类应为全称）： 当客户端进行lookup rmi://127.0.0…

java反序列化 -- URLDNS反序列化分析 何为URLDNS 这里借助P牛的说法，URLDNS就是ysoserial中一个利用链的名字，但准确来说，这个其实不能称作“利用链”。因为其参数不是一个可以“利用”的命令，⽽仅为一个URL，其能触发的结果也不是命令执⾏，⽽是一次DNS请求。 虽然这个“利利⽤用链”实际上是不能“利用”的，但因为其如下的…