分类 Java安全 下的文章

低漏报检测Java反序列化漏洞方法

1、不需要目标系统存在漏洞的第三方库,直接使用JDK自带的URL类发起dns请求,dns请求一般可以出网,所以漏报应该很低。

2、工具break-fast-serial,需要自己改造下把URLDNS的payload加到里面,启动dnschef

dnschef1.png

3、DNS解析设置

dns1.png

4、测试

url2.png

result1.png

5、检测到存在反序列化漏洞的点在具体进行绕过