我收藏的反序列化漏洞精选技术文章汇总
出品|MS08067实验室(www.ms08067.com)
反序列化是Java中非常重要的概念,以下文章都是团队阅读过并精挑细选的讲解反序列化漏洞的高质量文章。
本文为笔者入门java反序列化所学习的第一篇文章,作者以他对发序列化的了解和思路,循序渐进地用Commons-collections为案例进行了讲解。
《Java反序列化漏洞的原理分析》
https://www.freebuf.com/vuls/170344.html
本文为Commons-collections反序列化链讲解
《java反序列化漏洞-玄铁重剑之CommonsCollection(上)》
http://www.codersec.net/2018/02/java%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E-%E7%8E%84%E9%93%81%E9%87%8D%E5%89%91%E4%B9%8BCommonsCollection(%E4%B8%8A)/
本文对反序列化的基础知识进行了讲解
《Java反序列化漏洞从入门到深入》
https://xz.aliyun.com/t/2041
本文针对java原生readObject方法进行深入解读
《Java安全之原生readObject方法解读》
https://www.cnblogs.com/nice0e3/p/14127885.html
本文针对weblogic的安全进行系统性的讲解
《WebLogic 安全研究报告》
https://paper.seebug.org/1012/
《JAVA RMI 反序列化攻击 & JEP290 Bypass分析》
https://xz.aliyun.com/t/8706
《如何高效的挖掘Java反序列化利用链?》
https://www.anquanke.com/post/id/234537
《Java反序列化机制拒绝服务的利用与防御》
https://blog.csdn.net/fnmsd/article/details/115672540
《Java安全之CC4链》
https://www.sec-in.com/article/640
《JAVA JNDI注入知识详解》
https://mp.weixin.qq.com/s/TJTOh0q0OY-j6msP6XSErg
《JAVA RMI 反序列化知识详解》
https://paper.seebug.org/1194/
《Java 反序列化回显的多种姿势》
https://xz.aliyun.com/t/7740
《Java安全漫谈- 06.RMI篇(3)》
https://mp.weixin.qq.com/s/wNu73p5cnZJyuGFiiCCxKw
《浅析Java序列化和反序列化》
https://mp.weixin.qq.com/s?__biz=MzI1NDg4MTIxMw==&mid=2247484038&idx=1&sn=0c1509ed5878d0aea786348acce0e895
《先知议题解读 | Java反序列化实战》
https://www.anquanke.com/post/id/148593
《Sec-News 安全文摘 (ioin.in)》
http://wiki.ioin.in/post/group/NJa0
《Java JSON反序列化之殇-看雪开发者峰会》
http://xxlegend.com/2017/11/23/Java JSON反序列化之殇-看雪安全开发者峰会/
《Java反序列化漏洞》
https://forum.90sec.org/forum.php?mod=viewthread&tid=10514
《【技术分享】JAVA反序列化安全实例解析》
https://www.anquanke.com/post/id/84812
《Java反序列化漏洞被忽略的大规模杀伤利用》
http://blog.nsfocus.net/java-deserialization-vulnerability-overlooked-mass-destruction/