Ho letto della vulnerabilità di deserializzazione Java che porta all'attacco di Remote Code Execution. Molti attacchi pubblici sono persino disponibili per fare l'attacco.
Non ho trovato alcun tutorial che descriva come un utente malintenzionato sfrutta la vulnerabilità. Se faccio un programma di deserializzazione, come posso sfruttarlo per eseguire RCE?
Ti suggerisco di esaminare gli exploit pubblici per sapere come sfruttano la vulnerabilità e poi fare una domanda più specifica su tutto ciò che non capisci.
Come punto di partenza, qualcuno ha creato una pagina su github che riassume tutti i colloqui e guide. L'exploit pubblicato di OpenNMS usando ysoserial è tanto semplice quanto lo si otterrà.
Leggi altre domande sui tag java vulnerability