2021年11月29日
java反序列化java反序列化其实是一个正常的功能,通过序列化将一个对象转化成一串字符,再通过反序列化将字符转化成对象。这样看看java的序列化与反序列化有利于对象的存储与传输。但是在反序列化过程中会调用其readObject方法,如果在readObject的过程中执行了危险方法,便造成了漏洞。U
阅读全文
2021年11月29日
正则表达式拒绝服务类似^(\d+)*$(\\?.)*?由于正则表达式匹配不到会回溯,如:^(\d+)*s$,当你匹配一个 1231312312222131231313,会创建很多条路径,但是由于找不到s所以会回溯,此时路径以2次方的形式增长就会造成ReDos
阅读全文
2021年11月28日
tomcat内存马研究了tomcat的处理流程之后就来研究下tomcat的内存马,主要适用于无文件落地。Listener型内存马tomcat 请求处理流程会从Listener -> Filter -> Servlet
阅读全文