标签:漏洞

Spring

SpringBoot | 第十章:Swagger2的集成和使用

5

wenming.gapo 发布于 2018-08-18

前言 前一章节介绍了 mybatisPlus 的集成和简单使用,本章节开始接着上一章节的用户表,进行 Swagger2 的集成。现在都奉行 前后端分离 开发和微服务大行其道,分微服务及前后端分离后,前后端开发的沟通成本就增加了。所以一款强大的 RESTful API 文档就至关重...

阅读(10)评论(0)赞 (0)

Java

Zip Slip任意文件覆盖漏洞分析

9

xiaoli.wang 发布于 2018-08-17

*本文原创作者:路上路人路过,本文属FreeBuf原创奖励计划,未经许可禁止转载。 Zip Slip是一个广泛存在的任意文件覆盖漏洞,通常会导致远程命令执行。 该漏洞影响范围极大: 1.受影响的产品:惠普、Amazon、apache、Pivotal等; 2.受影响的编程语言:Ja...

阅读(16)评论(0)赞 (0)

Spring

Spring MVC 目录穿越漏洞(CVE-2018-1271)分析

32

puefu.he 发布于 2018-08-15

作者: Badcode@知道创宇404实验室 时间: 2018/08/14 漏洞简介 2018年04月05日,Pivotal公布了Spring MVC存在一个目录穿越漏洞(CVE-2018-1271)。Spring Framework版本5.0到5.0.4,4.3到4.3.14以...

阅读(14)评论(0)赞 (0)

Java

架构师之路:从Java码农到年薪八十万的架构师

8

刘莉莉 发布于 2018-08-15

Java是现阶段中国互联网公司中,覆盖度最广的研发语言,掌握了Java技术体系,不管在成熟的大公司,快速发展的公司,还是创业阶段的公司,都能有立足之地。 有不少朋友问,成为Java架构师除了掌握Java语法,还要系统学习哪些Java相关的技术,今天分享一个,互联网Java技术学习...

阅读(15)评论(0)赞 (0)

Java

99%的人都不知道的秘密:世上竟有如此酷炫的钓鱼系统!

13

Harries 发布于 2018-08-15

*本文原创作者:flagellantX,本文属FreeBuf原创奖励计划,未经许可禁止转载 PS:本文仅用于技术讨论,严禁用于非法用途 钓鱼作为从远古时期出现的手段,到现在的风靡在各种成功的攻击案例中几乎成为一个高级hacker必不可少的技能。 高超的钓鱼技巧取决于精心设计的社会...

阅读(20)评论(0)赞 (0)

Java

Java线程实现与安全

1

Harries 发布于 2018-08-14

编辑推荐: 本文来自于cnblogs,介绍了线程的三种实现方式,Java线程的实现与调度,线程安全等。 一、线程的实现 1、线程的三种实现方式 首先并发并不是我们通常我们认为的必须依靠线程才能实现,但是在Java中并发的实现是离不开线程的,线程的主要实现有三种方式: 使用内核线程...

阅读(18)评论(0)赞 (0)

Java

漏洞预警 | CVE-2018-3110 Oracle数据库服务器Java虚拟机漏洞

1

dulong 发布于 2018-08-13

CVE-2018-3110 2018年8月10日,Oracle发布安全通告,对Oracle数据库漏洞CVE-2018-3110进行了预警。此漏洞CVSS评分为9.9分,影响较为严重,用户应及时进行更新。 CVE-2018-3110影响Oracle数据库Windows版11.2.0...

阅读(21)评论(0)赞 (0)

Java

围观orange大佬在Amazon内部协作系统上实现RCE

14

changyuan.xu 发布于 2018-08-13

(本文作者是orange,以其第一人称叙述。) 这是我在Black Hat USA 2018和DEFCON 26上的案例研究,PPT可在这里下载: • Breaking Parser Logic! Take Your Path Normalization Off and Pop ...

阅读(23)评论(0)赞 (0)

Java

Jenkins漏洞处置建议CVE-2018-1999001,CVE-2018-1999002

6

xiaoli.wang 发布于 2018-08-07

阅读: 6 北京时间7月18日,Jenkins官方发布安全通告,修复了7个漏洞,其中包括一个严重漏洞(CVE-2018-1999001,Jenkins 配置文件路径改动导致管理员权限开放漏洞)和一个高危漏洞(CVE-2018-1999002,任意文件读取漏洞)。为保证Jenkin...

阅读(35)评论(0)赞 (0)

Java

JEESNS V1.3 发布,JAVA 开源 SNS 社区系统

xubiao.zhuang 发布于 2018-08-03

JEESNS是一款基于JAVA企业级平台研发的社交管理系统,依托企业级JAVA的高效、安全、稳定等优势,开创国内JAVA版开源SNS先河。数据库使用MYSQL,全部源代码开放。 应用场景 JEESNS是一个企业级的开源社区系统,是一个可以用来搭建门户、群组、论坛和微博的社区系统。...

阅读(32)评论(0)赞 (0)

Java

Oracle Enterprise Manager Grid Control JSP代码执行漏洞(CVE-2010-3600)

16

yanxinchi 发布于 2018-08-03

*本文原创作者:一只胖麻瓜biu,本文属FreeBuf原创奖励计划,未经许可禁止转载 0×1 Oracle Enterprise Manager Grid Control是可以监控和管理网格中的Oracle数据库软件的工具。 Oracle Enterprise Man...

阅读(27)评论(0)赞 (0)

Java

Jenkins配置文件路径改动导致管理员权限开放漏洞(CVE-2018-1999001)

23

尖兵 发布于 2018-08-02

【作者:百度安全SiemPent Team】 0x01 漏洞概述 Jenkins 官方在 7 月 18 号发布了安全公告,对Jenkins的两个高危漏洞进行通告,其中包括配置文件路径改动导致管理员权限开放的漏洞CVE-2018-1999001,未授权用户通过发送一个精心构造的登陆...

阅读(51)评论(0)赞 (0)

Java

记一次Java反序列化漏洞的发现和修复

10

yeseng 发布于 2018-08-02

0x00 背景简介 本文是自己对一次反序列化漏洞的发现和修复过程,如有错误请斧正,大神请轻喷。 目标应用系统是典型的CS模式。 客户端是需要安装的windows桌面程序,但是它是大部分内容都是基于Java开发(安装目录有很多Jar包)。 服务端是基于Jboss开发。 客户端和服务...

阅读(48)评论(0)赞 (0)

Java

Spring Boot十种安全措施

xiaoli.wang 发布于 2018-07-31

Spring Boot大大简化了Spring应用程序的开发。它的自动配置和启动依赖大大减少了开始一个应用所需的代码和配置量,如果你已经习惯了Spring和大量XML配置,Spring Boot无疑是一股清新的空气。 Spring Boot于2014年首次发布,自那以后发生了很多变...

阅读(41)评论(0)赞 (0)

Java

基于反序列化的Oracle提权

10

dulong 发布于 2018-07-31

本文翻译自: http://obtruse.syfrtext.com/2018/07/oracle-privilege-escalation-via.html?m=1 TLDR: Oracle数据库容易受到通过java反序列化向量绕过Oracle JVM内置的安全机制来提升用户权...

阅读(45)评论(0)赞 (0)

Java

Java代码审计丨某开源系统源码审计

19

zhuangli 发布于 2018-07-27

*本文作者:黑客小平哥,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。 java源代码审计相关资料一直比较少,今天抽空给大家写一篇简单的开源代码审计,这是个做公司网站的开源模板,由于项目比较小,本次就针对几个比较严重的漏洞讲解一下发现的过程,其它的一些小漏洞,包括XSS...

阅读(47)评论(0)赞 (0)

Java

Jenkins 任意文件读取漏洞复现与分析 – 【CVE-2018-1999002】

4

尖兵 发布于 2018-07-26

SECURITY-914 / CVE-2018-1999002 An arbitrary file read vulnerability in the Stapler web framework used by Jenkins allowed unauthenticated us...

阅读(60)评论(0)赞 (0)