Fastjsonのデシリアライゼーション脆弱性とその対策
Fastjsonのデシリアライゼーション機構
FastjsonはAlibabaが開発した高性能なJSON処理ライブラリで、JavaオブジェクトとJSON文字列間の相互変換をサポートしています。
基本的な動作原理
public class BasicExample {
public static void main(String[] args) {
String jsonStr = "{\"@type\":\"com.example.User\",\"username\":\"test\",\"age\":25}";
...
6月13日 23:50 投稿
攻防世界 Warmup: デシリアライゼーションとSQLインジェクションの脆弱性
本記事では、CTFプラットフォーム「攻防世界」の「Warmup」という問題を解説します。この問題は、PHPのデシリアライゼーションとSQLインジェクションの脆弱性を組み合わせたものです。
問題の概要
問題は、特別な情報がない入力フォームを提示します。付属のソースコードが提供されており、それを分析することでフラグを取得する必要があります。
ソースコードの分析
与 ...
5月16日 22:05 投稿