身份认证逻辑缺陷漏洞挖掘思路

背景

在渗透测试项目中,很多时候横在我们渗透路上的第一个拦路虎就是后台登录界面,有时可以通过找弱密码的方式直接获取登录后的权限,有时也可以通过钓鱼或者在其他业务系统中拿到的账户密码来登录目标系统获取更多权限,有时也可以通过未授权访问漏洞来获取本应登录后才能拿到的数据,但是如果没有以上渠道,想要获取一个靶标系统的访问权限就比较难了,因此下文总结身份认证逻辑缺陷相关漏洞挖掘思路。

Java反序列化漏洞分析

序列化与反序列化简介

Java 提供了一种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列,该字节序列包括该对象的数据、有关对象的类型的信息和存储在对象中数据的类型。

将序列化对象写入文件之后,可以从文件中读取出来,并且对它进行反序列化,也就是说,对象的类型信息、对象的数据,还有对象中的数据类型可以用来在内存中新建对象。

整个过程都是 Java 虚拟机(JVM)独立的,也就是说,在一个平台上序列化的对象可以在另一个完全不同的平台上反序列化该对象。

类 ObjectInputStream 和 ObjectOutputStream 是高层次的数据流,它们包含反序列化和序列化对象的方法。

https://www.runoob.com/java/java-serialization.html

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×