Prémisse
Dans cette vidéo pas à pas, nous avons couvert une vulnérabilité dans la bibliothèque Jackson qui utilise la désérialisation JSON et utilisé 'Temps' machine de Hackthebox à des fins de démonstration.
CVE descriptif
FasterXML jackson-databind 2.x avant 2.9.9.1 pourrait permettre aux attaquants d'avoir divers impacts en tirant parti de l'échec du blocage de la classe logback-core de la désérialisation polymorphe. En fonction du contenu du chemin de classe, l'exécution de code à distance peut être possible.
Obtenir les notes du certificat OSCP
Compétences acquises
JSON
Vidéo pas à pas
Montrer les Commentaires