标签:漏洞

Java

JMX远程代码漏洞研究

12

刘莉莉 发布于 2020-04-04

前言: 前一段时间apace solr JMX因为配置不当出现远程代码执行漏洞,最近自己在看一套java系统时,发现该系统也存在JMX远程代码漏洞,于是乎就想研究下JMX这种通用型漏洞,下面我就从原理到利用对该漏洞做一个简单的梳理。 一、 JMX 服务和MBean JMX(Jav...

阅读(13)评论(0)赞 (0)

Java

面试刷题28:如何写出安全的java代码?

3

yanxinchi 发布于 2020-04-03

对jdk,jvm,java应用程序的攻击多种多样?那么从java程序员的角度,如何写出安全的代码呢? 我是李福春,我在准备面试,今天的题目是:如何写出安全的java代码? 答:这个需要从功能设计到实现细节综合考虑,所谓的不安全,是攻击者利用jdk,jvm,java应用程序的瑕疵,...

阅读(14)评论(0)赞 (0)

Java

面试刷题27:程序员如何防护java届的新冠肺炎?

3

likai 发布于 2020-04-03

背景 安全是软件设计的第二个非功能性需求,一般是当软件出现安全问题的时候才会得到重视。 最明显的比如 数据库用户信息和密码泄漏等; 数据加解密技术 单向加密 md5+salt值, 这个是软件设计中使用的比较多的。 但是要预防彩虹表的解密,在加密前校验密码的规则,符合安全等级。 对...

阅读(18)评论(0)赞 (0)

Java

面试刷题26:新冠攻击人类?什么攻击java平台?

4

xiaoli.he 发布于 2020-04-02

可恶的新冠病毒攻击人类,搞得IT就业形势相当不好?好在有钟南山院士带领我们提前开展好了防护工作! java作为基础平台安装在各种移动设备,PC,小型机,分布式服务器集群,各种不同的操作系统上。所以,对java平台层面的攻击也是最多的。 我是李福春,我在准备面试,今天的题目是: J...

阅读(8)评论(0)赞 (0)

编程技术

网络安全架构:建立安全架构方法的指导框架

10

xiaoli.he 发布于 2020-04-02

全文约 1.3万 字 7图   阅读约 35 分钟 本篇是 《网络安全架构 | 通过安全架构提升安全性》 的 续集。 Gartner 关于网络安全架构的整体 方法和详细过程,主要反映在这两篇之中,是 Gartner 关于安全架构方法的集大成之作,不可多得 。 ...

阅读(13)评论(0)赞 (0)

Java

使用codeql挖掘fastjson利用链

3

尖兵 发布于 2020-04-02

什么是codeql codeql是github security lab开发的一种代码查询语言,可以利用codeql方便的进行代码的污点追踪分析,通过像SQL查询语言一样的对代码的查询方式,可以让使用者不用去过于关心污点追踪的实现细节,具体的codeql的语法和使用方法可以在官网...

阅读(21)评论(0)赞 (0)

Java

CVE-2020-2555:Oracle WebLogic RCE漏洞分析

6

changyuan.xu 发布于 2020-04-02

写在前面的话 在对Java Web应用程序进行研究时,不安全的反序列化漏洞现在已经成为了攻击者或研究人员的常见目标了。这些漏洞将导致他人在目标设备上可靠地实现远程代码执行,而且这类漏洞通常很难修复。在这篇文章中,我们将对漏洞CVE-2020-2555( ZDI-20-128 )进...

阅读(19)评论(0)赞 (0)

Java

目前中国网站服务端开发主要有PHP、asp.net、Java三种语言

1

hanze 发布于 2020-04-02

通过各招聘网站招聘程序员的类型统计得出结果是目前中国网站服务端开发主要有PHP、asp.net、Java三种语言,其他占少数有潜力有C#,C++等,而Python也开始被开发者使用在服务端开发。 从招聘的数据信息显示,PHP编程开发主要集中在中小网站,个人站点,个人博客等开发,而...

阅读(10)评论(0)赞 (0)

编程技术

管理员必知的六大配置管理工具

1

darida 发布于 2020-04-02

【51CTO.com快译】虚拟基础架构和软件的共同特点是,总是有配置选项。在日益分布式的IT环境中,无论在数据中心还是在云端,确实需要大规模管理配置。 配置管理软件是一大类工具和服务,它们使管理员能够以一种策略驱动、可重复和自动化的方式大规模管理配置。基础架构监控等关键因素起到作...

阅读(13)评论(0)赞 (0)

Java

Rocke Group团伙新挖矿变种AliyunMiner分析

12

hanze 发布于 2020-04-01

0x0 背景介绍 近期,深信服安全团队捕获到Rocke Group黑产团伙运营的新挖矿病毒,该病毒通过ssh爆破、ssh免密登录、redis未授权访问漏洞以及redis弱密码爆破、jenkins远程代码执行漏洞以及jenkins弱口令爆破和ActiveMQ远程代码执行漏洞进行传播...

阅读(20)评论(0)赞 (0)

Java

浅谈JNDI

15

puefu.he 发布于 2020-04-01

Java命名和目录接口(Java Naming and Directory Interface,缩写 JNDI ),是Java的一个目录服务应用程序接口(API),它提供一个目录系统,并将服务名称与对象关联起来,从而使得开发人员在开发过程中可以使用名称来访问对象 。 可以理解为一...

阅读(17)评论(0)赞 (0)

编程技术

针对香港用户的LightSpy水坑攻击

16

changyuan.xu 发布于 2020-04-01

2020年1月10日研究人员发现名为LightSpy的恶意软件,攻击网站页面内容是针对香港用户设计的, 研究人员暂时命名该APT组织“TwoSail Junk”。本文详细分析了攻击活动的传播途径、利用方式、基础设施和LightSpy恶意软件。 部署时间 在2020年2月...

阅读(31)评论(0)赞 (0)

Java

静态代码扫描实践

12

刘莉莉 发布于 2020-04-01

总篇89篇 2020年 第13篇 前言 在很久以前,我们发现在我们的研发测试流程中,大部分缺陷是在代码开发的过程中引入的, 然后通过各种测试活动将这些缺陷发现出来,并且修复 。我们都知道随着缺陷发现的越晚,缺陷的修复成本越高。 那么有没有一种方法,在编码过程中就能将这些缺陷找到呢...

阅读(19)评论(0)赞 (0)

Java

Java – Java开发中的安全编码问题

hanze 发布于 2020-03-31

目录 1 – 输入校验 编码原则:针对各种语言本身的保留字符,做到 数据与代码相分离 。 1.1 SQL 注入防范 严重性高,可能性低。 (1) 参数校验,拦截非法参数(推荐白名单): public String sanitizeUser(String usernam...

阅读(18)评论(0)赞 (0)

Java

从零开始学习fastjson反序列化

2

darida 发布于 2020-03-31

fastjson使用简介 fastjson项目地址: https://github.com/alibaba/fastjson 用来实现Java POJO对象与JSON字符串的相互转换,比如: User user = new User(); user.setUserName(&qu...

阅读(21)评论(0)赞 (0)

Java

从零开始学习fastjson反序列化

2

wenming.gapo 发布于 2020-03-31

fastjson使用简介 fastjson项目地址: https://github.com/alibaba/fastjson 用来实现Java POJO对象与JSON字符串的相互转换,比如: User user = new User(); user.setUserName(&qu...

阅读(38)评论(0)赞 (0)

Java

白头搔更短,SSTI惹人心!

40

xiaoli.wang 发布于 2020-03-31

为什么说Java审计南在SSTI呢? 现行SSTI(Server-Side Template Injection ) 资料不少,但与Java,以著名的先知社区为例(如下图所示),关于SSTI文章也不过几篇而已,但与Java相关的一篇都没有。 搜索CVE漏洞有关于SSTI的漏洞编号...

阅读(24)评论(0)赞 (0)

编程技术

阿里巴巴发布新一代安全架构:让数字基建的每块砖安全可溯源

2

darida 发布于 2020-03-31

摘要: 近日,阿里巴巴发布数字基建新一代安全架构。 网商君 “新基建”带来了新的发展机遇,也对网络空间安全带来了全新的挑战。两个多月新冠疫情磨砺,让加快发展数字化成为社会共识,以5G、数据中心等为代表的新型基础设施建设,也成为经济复苏的新路径。 近日,阿里巴巴发布数字基建新一代安...

阅读(21)评论(0)赞 (0)