فرضية
في هذا الفيديو التفصيلي، قمنا بتغطية ثغرة أمنية في مكتبة جاكسون التي تستخدم إلغاء تسلسل JSON واستخدمت "وقتالجهاز من Hackthebox لأغراض العرض التوضيحي.
وصف مكافحة التطرف العنيف
قد يسمح FasterXML jackson-databind 2.x قبل 2.9.9.1 للمهاجمين بالحصول على مجموعة متنوعة من التأثيرات من خلال الاستفادة من الفشل في منع فئة logback-core من إلغاء التسلسل متعدد الأشكال. اعتمادًا على محتوى مسار الفئة، قد يكون من الممكن تنفيذ التعليمات البرمجية عن بعد.
المهارات المستفادة
JSON
تجول الفيديو
عرض التعليقات