标签:漏洞
yanxinchi 发布于 2018-12-06
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
该课题由独角兽安全夏令营第二届学员黄瑞同学完成 独角兽暑期训练营 360无线电安全研究院每年暑假都会面向在校学生举办一次暑期训练营,申请者投递简历并提交自己想做的课题介绍后,若入选,会在360技术专家的指导下完成课题。 本系列文章会发布今年5位学员在训练营中的成果。文章相关代码后...
阅读(31)赞 (0)标签:ftp / git / GitHub / http / https / id / IO / ip / JVM / python / rand / rmi / src / Statement / UI / windows / 代码 / 处理器 / 学生 / 安全 / 定制 / 开源 / 总结 / 数据 / 文章 / 智能 / 本质 / 测试 / 源码 / 漏洞 / 编译 / 缩小 / 翻译 / 自动化 / 软件
wenming.gapo 发布于 2018-12-03
当容器和K8S的IT管理团队把本地变更部署在生产环境的时候,往往面对很多要学习的东西。 最近我们澄清了一些大家在进行K8S实验的时候所面对的常见的误解。其中最大的一个误解就是:在生产环境中运行K8S和开发测试环境并无两样。 答案:是不一样的。 Avi Network公司的联合创始...
阅读(27)赞 (0)标签:API / CEO / CTO / git / http / https / IO / Kubernetes / Security / Uber / 一致性 / 主机 / 云 / 产品 / 代码 / 企业 / 创始人 / 安全 / 开发 / 微服务 / 快的 / 敏捷 / 数据 / 服务器 / 架构师 / 架构设计 / 模型 / 测试 / 测试环境 / 漏洞 / 生命 / 端口 / 管理 / 红帽 / 组织 / 自动化 / 软件 / 运营 / 配置 / 集群 / 需求 / 领导 / 高可用
hanze 发布于 2018-12-03
![]()
struts2从开发出来到现在,很多互联网企业,公司,平台都在使用apache struts2系统来开发网站,以及应用系统,这几年来因为使用较多,被攻击者挖掘出来的struts2漏洞也越来越,从最一开始S2-001到现在的最新的s2-057漏洞,本文着重的给大家介绍一下strut...
阅读(14)赞 (0)标签:Action / apache / App / HTML / http / https / IO / map / mapper / sql / src / Struts2 / UI / XML / 互联网 / 互联网企业 / 代码 / 企业 / 关键词 / 删除 / 参数 / 安全 / 开发 / 数据 / 数据库 / 文章 / 正则表达式 / 漏洞 / 网站 / 解析 / 调试 / 递归 / 配置
yeseng 发布于 2018-12-02
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
本文讲述如何构建CVE-2018-11776的漏洞利用。 Struts OGNL利用史 首先介绍一些背景和概念以帮助理解OGNL利用的过程。首先介绍下OGNL的基本概念。 OGNL执行环境 在Struts的中,OGNL可以使用#符号访问全局对象。本文介绍一些可以访问的对象,其中列...
阅读(22)赞 (0)标签:Action / apache / build / CDN / cmd / CTO / db / db2 / final / http / https / id / IO / java / key / mail / map / Security / src / stream / struct / tar / tk / UI / value / Word / wordpress / 代码 / 安全 / 实例 / 漏洞 / 配置 / 静态方法
yeseng 发布于 2018-12-01
【编者的话】目前已经有很多的关于集群以及DNS管理的组件,在本文中我会提及到当前top10的Helm来帮助你更多的了解Kubernates,微服务等。 怎么替你全新的Kubernates集群找到最合适的Helm工具集合? 下面是值得选择的方案列表。 | | 名称 | 选择理由 |...
阅读(26)赞 (0)标签:ACE / API / core / Dashboard / DNS / Elasticsearch / git / http / id / IDE / IO / ip / jenkins / Job / key / Kibana / Netflix / Nginx / ORM / Uber / UI / 代码 / 分布式 / 可观测性 / 备份 / 安全 / 安装 / 希望 / 开发 / 开源 / 微服务 / 插件 / 数据 / 时间 / 漏洞 / 目录 / 空间 / 管理 / 缩小 / 翻译 / 自动化 / 认证 / 配置 / 锁 / 集群 / 高可用 / 黑客 / 黑客攻击
尖兵 发布于 2018-12-01
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
微服务落地是一个复杂问题,牵扯到IT架构,应用架构,组织架构多个方面 在多家传统行业的企业走访和落地了微服务之后,发现落地微服务是一个非常复杂的问题,甚至都不完全是技术问题。 当时想微服务既然是改造应用,做微服务治理,类似注册,发现,熔断,限流,降级等,当然应该从应用开发组切入,...
阅读(44)赞 (0)标签:ACE / Agent / API / bug / cache / cat / CDN / consul / db / db2 / Docker / Dockerfile / dubbo / ftp / git / http / https / IO / IO层 / ip / IT人 / java / JDBC / Kubernetes / Master / mongo / MongoDB / MQ / mysql / nfs / OpenStack / Oracle / PaaS / rabbitmq / redis / REST / RESTful / SDN / Sentinel / sharding / SOA / spring / Spring cloud / sql / SQL Server / src / ssh / Uber / UI / VMware / 一致性 / 专注 / 业务层 / 事故 / 云 / 互联网 / 产品 / 代码 / 企业 / 做自己 / 分布式 / 分布式事务 / 删除 / 单元测试 / 压力 / 参数 / 大数据 / 安全 / 安装 / 定制 / 实例 / 希望 / 并发 / 应用架构 / 开关功能 / 开发 / 开源 / 微服务 / 招聘 / 插件 / 数据 / 数据库 / 数据模型 / 文章 / 时间 / 最大规模 / 服务注册 / 架构师 / 模型 / 注册中心 / 测试 / 测试环境 / 消息队列 / 漏洞 / 灰度发布 / 理财 / 生命 / 用户中心 / 管理 / 组织 / 缓存 / 自动化 / 虚拟化 / 覆盖率 / 认证 / 详细分析 / 质量 / 资金 / 软件 / 进程 / 配置 / 配置中心 / 锁 / 限流 / 需求 / 高并发
hanze 发布于 2018-11-30
![]()
Windows中遇到了Java RMI,反弹又不那么方便,这时该如何利用呢? It’s a question。 正好加强Java学习了。 0x00 预备知识理解 Java RMI——Java远程调用提供了不同机器之间进行对象方法访问的能力,这样的构架允许一台机器的对象访问另一台机...
阅读(32)赞 (0)标签:ACE / apache / cache / cat / client / cmd / Collection / Collections / constant / CTO / db / DNS / example / final / HashMap / http / https / id / IO / ip / java / lib / list / map / message / newProxyInstance / ORM / parse / Proxy / redis / remote / rmi / shell / src / ssl / stream / struct / tar / UI / value / vps / windows / 下载 / 乱码 / 代码 / 协议 / 实例 / 开发 / 开发者 / 数据 / 文章 / 服务器 / 测试 / 测试环境 / 漏洞 / 编译 / 解决方法 / 解析 / 进程
xiaoli.wang 发布于 2018-11-30
![]()
![]()
![]()
![]()
过去几年中,从鬼话到神话再到人话,DevOps已经从时髦概念落地最佳实践,进而改变着整个软件世界。而在即将到来的2019年,DevOps将迎来一波猛烈的发展,成为推动软件世界前进的核心动力。从过去五年DevOps的Google Trend热度走势(下图)来看,这个预测并非空穴来风...
阅读(26)赞 (0)标签:2015 / App / CTO / Google / HTML / http / https / IO / ip / IT人 / Kubernetes / MQ / REST / src / Uber / UI / 专注 / 云 / 产品 / 代码 / 企业 / 保安 / 做自己 / 基金 / 安全 / 开发 / 开源 / 微服务 / 快的 / 数据 / 文章 / 时间 / 智能 / 模型 / 测试 / 漏洞 / 生命 / 组织 / 统计 / 自动化 / 软件 / 运营 / 需求
zhuangli 发布于 2018-11-30
fastjson报autotype is not support 安全升级公告 最近发现fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞,为了保证系统安全,请升级到1.2.28/1.2.29/1.2.30/1.2.31或者更新版本。 1.2.29//1.2....
阅读(14)赞 (0)标签:2015 / bug / centos / http / https / java / js / json / parse / sql / ssl / Ubuntu / web / 代码 / 安全 / 漏洞
小丁 发布于 2018-11-29
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
在本文中,我们将向你展示一个利用不安全的反序列化漏洞的过程,我们将以WebGoat 8反序列化挑战(部署在Docker上)为例。只需执行sleep5秒即可解决挑战。但是,我们将会进一步寻求乐趣并尝试get shell。 介绍 Java的反序列化问题在安全领域已经被安全人...
阅读(45)赞 (0)标签:2015 / App / bug / cat / CDN / cmd / db / Docker / git / GitHub / HTML / http / https / id / IO / ip / java / key / mail / MQ / PHP / pom / python / root / shell / spring / src / tar / TCP / UI / web / wget / Word / wordpress / XML / 下载 / 代码 / 安全 / 安装 / 开发 / 插件 / 数据 / 测试 / 漏洞 / 编译 / 配置
darida 发布于 2018-11-27
最近笔者在撰写JavaWeb与自动化相结合的教程,上篇入口在这里,第二篇还在创作中,在发布之前,让我们先来讨论一个Java的重要技能,Exception。 实现程序的运行是所有初级的程序员所追求的, Thinking in Java 因此成为了很适合入门的一本书,然而随着代码行数...
阅读(32)赞 (0)标签:ACE / Action / API / App / ask / Atom / bug / cat / client / Collection / Document / explain / FIT / http / https / id / IDE / IO / java / JVM / key / lib / message / mina / ORM / stream / tab / tag / value / web / Word / 代码 / 参数 / 多线程 / 希望 / 提问 / 数据 / 文章 / 时间 / 漏洞 / 程序员 / 索引 / 线程 / 编译 / 自动化 / 质量
darida 发布于 2018-11-27
![]()
Vulhub 是github上的一个开源项目。 Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。 使用 安装好docker后 # 启动docker服务 service docker start # 安装comp...
阅读(44)赞 (0)标签:Action / App / ask / build / cat / Connection / CTO / Docker / docker-compose / equals / git / GitHub / HTML / http / https / id / IO / ip / java / js / kk / list / Master / ORM / parse / ResultSet / root / Select / Service / servlet / session / sql / src / Statement / stream / Struts2 / tab / tar / tomcat / UI / update / web / Webapps / wget / zip / 下载 / 删除 / 安装 / 开源 / 开源项目 / 文章 / 测试 / 漏洞 / 目录 / 编译 / 自动化
zhuangli 发布于 2018-11-26
![]()
jboss,tomcat,weblogic,未授权访问扫描工具。 #前言 之前一直在挖src,然后复现了一下最近的几个中间件漏洞,感觉其实厂商很多对中间件使用还是比较多了。如果在漏洞刚刚暴露出来就可以写好批量利用的脚本的化,确实是可以割一波稻草,于是就想写一个批量的脚本,以后出了...
阅读(30)赞 (0)标签:API / cache / cat / core / db / Docker / Elasticsearch / ftp / git / GitHub / Hadoop / http / https / IO / ip / jenkins / js / lib / mongo / MongoDB / MQ / mysql / python / redis / servlet / shell / sql / src / tomcat / UI / web / zookeeper / 代码 / 域名 / 备份 / 服务器 / 注释 / 漏洞 / 目录 / 端口 / 网站 / 解析
hellas 发布于 2018-11-26
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
本文将从struts2漏洞出发,研究struts2安全机制从无到有的过程,研究漏洞发生的原因以及修复的方式。 为了不让本文过于冗长,本文将适度对一些细节有所删减,具体详情请自行查找相关文档。 S2-001(Struts 2.0.0 – Struts 2.0.8) 这个...
阅读(40)赞 (0)标签:ACE / Action / apache / App / bean / bug / build / cat / example / final / find / git / GitHub / HashMap / HTML / http / https / id / IDE / IO / ip / js / Lua / map / mapper / Master / message / MQ / ORM / parse / plugin / Property / provider / REST / rmi / root / Security / Select / src / stream / Struts2 / tab / tag / tar / UI / value / XML / 代码 / 删除 / 参数 / 安全 / 实例 / 插件 / 数据 / 文件上传 / 文章 / 正则表达式 / 测试 / 漏洞 / 管理 / 解析 / 递归 / 配置 / 静态方法
puefu.he 发布于 2018-11-22
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
翻译自: https://lgtm.com/blog/apache_struts_CVE-2018-11776-exploit 翻译:聂心明 这篇文章我将介绍如何去构建CVE-2018-11776的利用链。首先我将介绍各种缓解措施,这些措施是Struts 安全团队为了限制OGNL...
阅读(35)赞 (0)标签:Action / apache / bug / build / cmd / confluence / Docker / http / https / IO / java / Java类 / key / Lua / map / Property / SDN / Security / servlet / src / stream / Struts2 / tab / tar / UI / value / 代码 / 安全 / 实例 / 希望 / 文章 / 时间 / 服务器 / 漏洞 / 管理 / 翻译 / 配置 / 静态方法
hellas 发布于 2018-11-20
![]()
Auth:Cryin’ 介绍 根据sonatype官方给出的 公告信息 ,Nexus Repository Manager 3存在一个任意EL表达式注入漏洞,攻击通过构造特殊请求可可实现远程任意代码执行。 关于sonatype Nexus Sonatype Nexus...
阅读(39)赞 (0)标签:ACE / CTO / db / Docker / final / git / GitHub / http / https / id / IO / ip / java / Master / maven / Security / src / tar / token / UI / validator / value / 代码 / 升级版本 / 参数 / 漏洞 / 管理
xiaoli.he 发布于 2018-11-20
![]()
2013年冬天的一个晚上,我第一次见到张一鸣,和他交流了三个小时,探讨今日头条的空间有多大。今天的主题《内容创业的想象空间有多大?》,正好呼应了五年前我对今日头条的报道——《今日头条的想象空间有多大?》。 回顾内容行业的发展,90年代到2000年初是纸媒黄...
阅读(34)赞 (0)标签:2015 / CEO / http / id / ip / src / 专注 / 互联网 / 产品 / 内容创业 / 创业 / 创业公司 / 创业者 / 创始人 / 希望 / 广告 / 开发 / 微博 / 微软 / 投资 / 投资人 / 教育 / 文章 / 时间 / 漏洞 / 百度 / 空间 / 网站 / 运营 / 门户网站 / 马化腾
Harries 发布于 2018-11-19
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
LCTF2018 我出的这道题主要考察了两个知识点,一个就是当前最最最最,最火的 Phar 反序列化,另一个就是前一段时间比较众人皆知的 java 的 XXE 漏洞,毕竟微信的洞谁能不知道呢?虽然是大家比较熟悉的洞,但是我依然进行了比较深入的挖掘,考察的是比较容易被忽视的点,当然...
阅读(36)赞 (0)标签:API / App / cache / cat / client / cmd / Connection / db / entity / equals / ftp / grep / HTML / http / https / id / IO / ip / java / js / json / lib / list / map / message / MQ / parse / PHP / remote / root / servlet / session / shell / src / ssh / struct / tar / TCP / tomcat / UI / vps / XML / zip / zlib / 代码 / 功夫 / 加密 / 协议 / 博客 / 参数 / 图片 / 希望 / 总结 / 数据 / 文件上传 / 文章 / 时间 / 服务器 / 标题 / 测试 / 源码 / 漏洞 / 目录 / 端口 / 解析 / 详细分析
