@邪恶贝壳
4年前 提问
1个回答
怎么找反序列化漏洞挖掘点
怎么找反序列化漏洞挖掘点?
在下炳尚
4年前
官方采纳
首先应找出readObject方法调用,在找到之后进行下一步的注入操作。- 般可以通过以下方法进行查找:
- 源码审计:寻找可以利用的入口,即确定调用反序列化函数readObject的调用地点。
- 对该应用进行网络行为抓包,寻找序列化数据,如wireshark,tcpdump等
- 进阶审计
- 白盒检测
- 黑盒检测
- RASP检测
- 攻击检测
怎么找反序列化漏洞挖掘点?
首先应找出readObject方法调用,在找到之后进行下一步的注入操作。- 般可以通过以下方法进行查找: