20180717官网发布Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)漏洞修复补丁

CVE-2019-17571/Apache Log4j 1.2.X存在反序列化远程代码执行漏洞 漏洞预警参考链接： 1. 漏洞描述 Apache Log4j是美国阿帕奇（Apache）软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中存在反序列化远程代码执行漏洞.攻击者可利用该漏洞执行任意恶意命令.在Log4j 1.2.X中包含一个SocketServer类,该类很容易对不可信数据进行反序列化,当侦听日志数据的不可信网络流量时,与反序列化小工具结合使用时,可以利用该类远程执行任意代码.影响包含目前最新版本. 2. 漏洞危害 高危 影响范围 1.2.4 <= Apache Log4j <= 1.2.17(最新版) 修复建议 1.升级到Apache Log4j 2系列最新版 2.禁止将该类所开启的socket端口暴露到互联网 3. 漏洞验证 Apac

jackson-databind<2.9.10.8存在反序列化远程代码执行漏洞（CVE-2020-35490/CVE-2020-35491），利用漏洞可导致远程执行服务器命令。该漏洞是由JNDI注入导致远程代码执行，Jackson-databind2.0.0-2.9.10.7版本中缺少org.apache.commons.dbcp2.datasources.PerUserPoolDataSource/org.apache.commons.dbcp2.datasources.SharedPoolDataSource黑名单类，攻击者可以利用上述缺陷，绕过限制，实现JNDI注入，最终在受害主机上执行

自用CVE-2018-3191 weblogic反序列化exp。

可以将已知结构的XMl文件生成C#结构体代码，并将该结构体与xml文件进行互相转换

ysoserial 是安全测试 playload 生成工具

测试专用

典型的C#的树形图操作，很多需要实现简单编程系统的参考，需要控件能解析成类的实例并保存，也需要读取文件反向解析为类的实例

类似 google protobuf，用于序列化/反序列化 c 结构体。支持序列化为 xml/json/binary 3 种格式。

Tuweni：适用于Java的Apache核心库（＆Kotlin） 有关该项目的详细信息，请参见我们的。 Tuweni是一组库和其他工具，可帮助以Java和其他JVM语言开发区块链和其他去中心化软件。 它包括一个低级字节库，序列化和反序列化编解码器（例如 ），各种加密功能和基元以及许多其他有用的实用程序。 Tuweni是为JDK 11或更高版本开发的。 制作说明 安装 。 与子模块一起克隆 git clone https://github.com/apache/incubator-tuweni.git tuweni cd tuweni git submodule update --in