主页 / KCon 2022 黑客大会 / Hacking JSON
-
标题
-
作者浅蓝
-
简介
- JSON
- tricks
- JSON
- Gadgets
JSON 广泛地被应用在各类程序中,这也使其成为了攻防中的焦点。作为最受欢迎的数据交换格式,它被各类编程语言所实现,作为Java开发者最受欢迎之一的 fastjson 服务了无数的 JavaWeb 应用,经过对它的研究我找到了一种可以绕过 1.2.80 版本内部安全检查的方法。
我将在本次议题分享JSON库的攻击思路,以 fastjson 为例提出一种新型在反序列化漏洞中寻找通用利用链的方法,并围绕 fastjson 相关漏洞深入分析,给出多种场景下扩展延伸的攻击方法,还将分享其他JSON库存在的安全问题与WAF对抗思路。
-
援引https://github.com/knownsec/KCon/tree/master/2022
-
提示本站仅做资料的整理和索引,转载引用请注明出处
相关推荐
-
2023-05-02 05:38:20.563437
-
2023-10-16 14:26:31.119995
-
2023-05-02 05:47:41.972477
-
2023-05-02 09:01:12.460736
附件下载
-
Hacking.JSON.pdf