前言
这是我第一次接触java反序列化漏洞,之前也不会java,调试的过程比较艰辛,其中一些原理其实也没有太清楚,先整理一篇博客回顾一下再继续往下学习吧。CVE-2017-3506 & CVE-2017-10271漏洞产生的原因大致是Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令,攻击者发送精心构造的xml数据甚至能通过反弹shell拿到权限。
Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hexo, you can find the answer in troubleshooting or you can ask me on GitHub.