-
java反序列化漏洞工具
绿色免费版 -
- 软件大小:40M
- 软件语言:中文
- 软件类型:国产软件 / 编译工具
- 软件授权:免费软件
- 更新时间:2017-03-27 11:48
- 软件等级:
- 应用平台:WinAll, WinXP
- 软件官网:暂无
相关软件
Apache for windowsv2.2.22 官方最新版
4.2M/英文/8.3
软件工程师园地java教程rmvb格式孙燕主讲1-
201.6M/中文/10.0
黑洞超解压v1.0.0 安卓版
46.8M/中文/10.0
全民枪战2无限钻石版苹果版v3.19.26 iPhone
2G/中文/10.0
ipad全民枪战v3.19.26 苹果版
2G/中文/10.0
软件介绍人气软件精品推荐相关文章网友评论下载地址
-
java反序列化终极测试工具是一款测试可以检测java反序列化漏洞的检测软件,用户通过软件可以很轻松的将java反序列化漏洞给找出来,其操作性也非常的简单,感兴趣的朋友快来IT猫扑下载吧!
Java反序列化漏洞产生的原因
在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景:
HTTP请求中的参数,cookies以及Parameters。
RMI协议,被广泛使用的RMI协议完全基于序列化
JMX 同样用于处理序列化对象
自定义协议 用来接收与发送原始的java对象
在序列化过程中会使用ObjectOutputStream类的writeObject()方法,在接收数据后一般又会采用ObjectInputStream类的readObject()方法进行反序列化读取数据。其代码示例如下:
java反序列化漏洞利用工具
结果如图:
上述代码中的java类ObjectInputStream在执行反序列化时并不会对自身的输入进行检查,意味着一种可能性,即恶意攻击者构建特定的输入,在ObjectInputStream类反序列化之后会产生非正常结果。而根据最新的研究,利用这一方法可以实现远程执行任意代码。
为了进一步说明,可以针对对上述代码进行了一点修改
结果:
主要修改为自定义了一个被序列化的对象myobject,通过定义myobject实现了java序列化的接口并且定义了一种名为“readObject”的方法。通过对比上面例子的输出,可以发现反序列化的相关数值被修改了,即执行的用户自身的代码。造成结果不同的关键在于readObject方法,java在读取序列化对象的时候会先查找用户自定义的readObject是否存在,如果存在则执行用户自定义的方法
Java反序列化终极测试工具功能介绍
1、本地命令执行并回显,无须加载外部jar包,支持纯内网环境检测。
2、支持JBoss、WebSphere和Weblogic的反序列化漏洞检测。
3、支持https数据传输。
4、支持文件目录列表。
解压密码:www.itmop.com
-
更多>>软件截图
推荐软件
Red Gate .NET Reflector(.net 反编译工具) 63M
下载/中文/2v9.0.2 汉化中文绿色版Apk+Dex文件反编译及回编译工具合集(APKDB) 21.5M
下载/中文/1v2.1.3(20170108b) 官方最新版code blocks(带GNW编译器) 85M
下载/中文/2v17.12 中文完整版c-free(最简单易用C语言编译器) 14.0M
下载/中文/6v5.0 免费注册版OllyDbg调试器 24.2M
下载/中文/1v2.01 绿色中文破解版
其他版本下载
精品推荐漏洞扫描工具
- 更多 (32个) >>漏洞扫描工具漏洞扫描工具是与网络信息安全工作息息相关相关的重要防护软件,一般分为web漏洞扫描器、java漏洞扫描工具、网站漏洞扫描工具、漏洞扫描系统、asp漏洞扫描软件等几个大类,无论是对于网络相关从业者还是日常网络使用
百度安全卫士电脑版1.9M
/中文/5360安全卫士1383.3M
/中文/20腾讯电脑管家pc版安装包63.0M
/中文/10金山毒霸电脑版162.9M
/中文/604瑞星杀毒软件最新版46.4M
/中文/254Avast!爱维士杀毒软件113KB
/多国语言[中文]/32345安全卫士电脑版95.5M
/中文/4卡巴斯基免费版(Kaspersky Free)2.4M
/多国语言[中文]/4asp网站漏洞在线扫描软件5.7M
/中文/3win7系统漏洞扫描修复工具966KB
/中文/1
相关文章
-
下载地址
-
java反序列化漏洞工具 绿色免费版
-
-
查看所有评论>>网友评论
-
更多>>猜你喜欢