Fastjsonのデシリアライゼーション脆弱性とその対策

Fastjsonのデシリアライゼーション機構 FastjsonはAlibabaが開発した高性能なJSON処理ライブラリで、JavaオブジェクトとJSON文字列間の相互変換をサポートしています。 基本的な動作原理 public class BasicExample { public static void main(String[] args) { String jsonStr = "{\"@type\":\"com.example.User\",\"username\":\"test\",\"age\":25}"; ...

6月13日 23:50 投稿

攻防世界 Warmup: デシリアライゼーションとSQLインジェクションの脆弱性

本記事では、CTFプラットフォーム「攻防世界」の「Warmup」という問題を解説します。この問題は、PHPのデシリアライゼーションとSQLインジェクションの脆弱性を組み合わせたものです。 問題の概要 問題は、特別な情報がない入力フォームを提示します。付属のソースコードが提供されており、それを分析することでフラグを取得する必要があります。 ソースコードの分析 与 ...

5月16日 22:05 投稿