• 标题
  • 作者
    浅蓝
  • 简介
    • JSON
    • tricks
    • JSON
    • Gadgets

    JSON 广泛地被应用在各类程序中,这也使其成为了攻防中的焦点。作为最受欢迎的数据交换格式,它被各类编程语言所实现,作为Java开发者最受欢迎之一的 fastjson 服务了无数的 JavaWeb 应用,经过对它的研究我找到了一种可以绕过 1.2.80 版本内部安全检查的方法。

    我将在本次议题分享JSON库的攻击思路,以 fastjson 为例提出一种新型在反序列化漏洞中寻找通用利用链的方法,并围绕 fastjson 相关漏洞深入分析,给出多种场景下扩展延伸的攻击方法,还将分享其他JSON库存在的安全问题与WAF对抗思路。

  • 援引
    https://github.com/knownsec/KCon/tree/master/2022
  • 提示
    本站仅做资料的整理和索引,转载引用请注明出处
相关推荐
附件下载
  • Hacking.JSON.pdf
    时间: 大小: 12.91 M 下载: 55