一、漏洞概述 WebLogic 是 Oracle 推出的 Java 应用服务器,其专有通信协议T3 协议因存在反序列化缺陷,成为远程代码执行漏洞的重灾区。攻击者可构造恶意序列化数据,通过 T3 协议发送给 WebLogic 服务器,在服务器反序列化过程中执行任意代码,实现远程控制。 历史上基于 T3 协议的高危漏洞包括 CVE-2015-4582、…
WebLogic T3 反序列化漏洞深度剖析:从协议原理到攻防实践
Apache Shiro 反序列化漏洞全解析:从 550 到 721 的攻防对抗
一、Apache Shiro 漏洞概述 Apache Shiro 是一款流行的 Java 安全框架,提供身份认证、授权、会话管理等功能。但其历史版本中存在两个高危反序列化漏洞 ——Shiro 550(CVE-2016-4437) 和Shiro 721,攻击者可利用漏洞实现远程代码执行,对 Java 应用造成严重威胁。 二、Shiro 550 反序列…