0x00 漏洞概述 XStream是一个Java对象和XML相互转换的工具,在将JavaBean序列化、或将XML文件反序列化时,它不需要其它辅助类和映射文件,这使得XML序列化不再繁琐。 XStream的使用也比较广泛,像Jenkins使用的就是XStream,实战演练的时候该漏洞可以发挥很好的攻击效果,如何识别和判断应用系统是否使用和引入了XStream呢?跟jackson和fastjson等反序列化组件一样,看post提交的内容,是以XML形式提交的。 2021年03月15日,XStream官方发布…
阿峰
十年以上网络安全经验,目前专注金融行业网络安全,技术驱动金融创新,网络安全与金融科技同发展。
2021年网络安全设备漏洞集合(持续更新)
5G组网模式NSA和SA两种网络模式的区别是什么
XStream反序列化命令执行漏洞CVE-2021-21344等
4G手机卡与5G手机卡安全性区别
Immunity Canvas 7.26下载及安装教程
安卓批量搜索分析Java 类/对象结构脚本工具