标签:漏洞

Java

万字搞定 Spring Security!

14

yeseng 发布于 2020-07-12

权限系统躲不开的概念,在Shiro和Spring Security之间,你一般选啥?在前后端分离的项目中,你知道怎么Spring security整合JWT么,来看看这篇文章哈! 思维导图如下: RBAC 全称为基于角色的权限控制,本段将会从什么是 RBAC,模型分类,什么是权限...

阅读(7)评论(0)赞 (0)

Java

Mybatis 框架下 SQL 注入攻击的 3 种方式,真是防不胜防!

15

zhuangli 发布于 2020-07-11

点击“ 开发者技术前线 ”,选择“星标:top:” 在看|星标|留言,  真爱 本文授权转载请注明来自FreeBuf.COM 链接:https://www.freebuf.com/vuls/240578.html 前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在...

阅读(14)评论(0)赞 (0)

Java

F5 BIGIP TMUI RCE漏洞(CVE-2020-5902)重现及注意点

13

yanxinchi 发布于 2020-07-10

0x00 概述 20200706,网上曝出F5 BIGIP TMUI RCE漏洞。 F5的流量管理用户界面(TMUI)存在认证绕过漏洞,导致TMUI模块所有功能可以未授权访问,进而可以读取/写入任意文件,命令执行等。 该漏洞在于Tomcat解析的URL与request.getPa...

阅读(13)评论(0)赞 (0)

Java

常见未授权访问漏洞原理及修复总结手册(上)

36

xiaoli.wang 发布于 2020-07-10

未授权访问漏洞是一个在企业内部非常常见的问题,这种问题通常都是由于安全配置不当、认证页面存在缺陷,或者压根就没有认证导致的。当某企业对外的服务端口、功能无限制开放,并且对用户的访问没有做任何限制的时候,可能会泄露出某些用户信息、敏感信息甚至可以执行系统命令,操作系统文件,导致系统...

阅读(9)评论(0)赞 (0)

Java

Java安全编码实践总结

68

darida 发布于 2020-07-10

Java作为企业主流开发语言已流行多年,各种java安全编码规范也层出不穷,本文将从实践角度出发,整合工作中遇到过的多种常见安全漏洞,给出不同场景下的安全编码方式。 本文漏洞复现的基础环境信息:jdk版本:1.8 ,框架:springboot1.5,数据库:mysql5.6和mo...

阅读(13)评论(0)赞 (0)

Java

自动售货机云端攻防

18

yanxinchi 发布于 2020-07-10

提示:本次为授权友情测试,在厂商确认修复完毕同意后才发表。 之前发了关于自动售货机越权和命令执行的文章,非常受大家欢迎。但是两篇文章都是有前提,就是需要拥有一个账号。所以有了这第三篇,从零渗透自动售货机云端。 前言 前两篇文章写得很简单,实际过程中还是遇到了很多问题,把那些曲折的...

阅读(9)评论(0)赞 (0)

编程技术

软件定义汽车,OEM玩家必须掌控游戏规则的“三件武器”

1

yanxinchi 发布于 2020-07-10

【编者按】只有完整的考虑了软件架构、数据生态和网络安全,软件定义汽车的概念才算是一个完整的体系。 本文转自高工智能汽车,作者高工观察,经亿欧编辑,仅供业内人士参考。 软件已经成为汽车行业的主基调。 软件的重要性,不仅对于未来的汽车设计,而且对于提供新的功能,加速开发周期和保持汽车...

阅读(7)评论(0)赞 (0)

Java

SOFAJRaft v1.3.3 发布,蚂蚁金服生产级高性能 Java 实现

Harries 发布于 2020-07-10

SOFAJRaft v1.3.3 发布了,本期发布内容 Features RheaKV 允许不同分片各自配置不同的 learner 节点  #486 在只有一个成员变更的情况下,仍然使用 raft 联合一致性算法  #482 替换基于 GPL-2.0...

阅读(7)评论(0)赞 (0)

Java

SonarQube 8.4发布,分析时间最多可减少 80%

xiaoli.wang 发布于 2020-07-10

SonarQube v8.4 发布了。SonarQube 是一个用于管理源码质量的平台,帮助开发者编写干净的代码,其支持的语言包括:Python、Java、PHP、C#、C、Cobol、PL/SQL 与 Flex 等。 此版本扩展了 OWASP(Open Web App...

阅读(9)评论(0)赞 (0)

Java

Java Bean漫谈:多种方式利用Java Bean实现远程代码执行

1

hanze 发布于 2020-07-10

一、概述 在本文中,我们将以Nexus Repository Manager 3中的一个Java表达式语言注入漏洞(CVE-2018-16621)为例,共同进行一次神奇的研究。我们首先详细分析CVE-2018-16621漏洞,然后分析如何利用该漏洞来打开蠕虫病毒的盒子。 二、CV...

阅读(11)评论(0)赞 (0)

Java

移动安全(二)|APK打包流程及签名安全机制初探

8

尖兵 发布于 2020-07-09

0x00、今天我们聊什么? 今天我们聊些啥?许久不见,是该聊些啥了,话不多说,先来个五毛钱得,聊一聊 胡小毛 的 Android 逆向之路吧,当然,你们想知道的一定不是走了这么远的路,胡小毛今年是不是又长高了,那么我们开始看看他又 Get 到的新 zishi 吧(本文内容为 Ma...

阅读(15)评论(0)赞 (0)

Java

Web中间件常见漏洞总结

152

yeseng 发布于 2020-07-09

IIS IIS是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。 IIS目前只适用于Windows系统,不适用于其他操作系统。 解析漏洞 IIS 6.X 基于文件名...

阅读(12)评论(0)赞 (0)

Java

Spring Boot 相关漏洞学习资料

wenming.gapo 发布于 2020-07-09

Spring Boot 相关漏洞学习资料,利用方法和技巧合集,黑盒安全评估 check list 零:路由和版本 0x01:路由知识 Spring Boot 1.x 版本默认内置路由的根路径以 / 开始,2.x 则统一以 /actuator 开始 有些程序员会自定义 /manag...

阅读(11)评论(0)赞 (0)

Java

Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响

1

xubiao.zhuang 发布于 2020-07-09

01 事件背景 6月25日, Apache 官方安全团队通过邮件公开报告了一个高危漏洞,邮件中介绍了 HTTP/2 拒绝服务漏洞的细节及解决方案。如下图所示: 漏洞详情链接: http://mail-archives.apache.org/mod_mbox/www-announc...

阅读(10)评论(0)赞 (0)

Java

Fastjson <1.2.48 入门调试

5

darida 发布于 2020-07-09

fastjson反序列化已经是近几年继Struts2漏洞后,最受安全人员欢迎而开发人员抱怨的一个漏洞了。 目前分析Fastjson漏洞的文章很多,每次分析文章出来后,都是过一眼就扔一边了。正好最近在学习反序列化的内容,对<1.2.48版本的漏洞再做一次分析,借鉴和学习了很多...

阅读(11)评论(0)赞 (0)

编程技术

架构简洁之道:从阿里开源应用架构 COLA 说起

5

changyuan.xu 发布于 2020-07-08

导读: COLA 的主要目的是为应用架构提供一套简单的可以复制、可以理解、可以落地、可以控制复杂性的”指导和约束"。 在实践中作者发现 COLA 在简洁性上仍有不足, 因此给 COLA 做了一次“升级”,在这次升级中,没有增加任何新的功能,而是尽量多删减了一些概念和功能...

阅读(15)评论(0)赞 (0)

Java

java 性能优化:35 个小细节提升 java 代码的运行效率

xiaoli.wang 发布于 2020-07-08

哪怕路途中有再多的巉岩,有再多的堤坝,有再多的艰险坎坷,河水都流了过来,用柔弱的身躯阐释了生命的线条。而人正是需要河水这样的精神,在时间的沟渠中不管有再多的跌宕起伏。 1、前言 代码优化 ,一个很重要的课题。可能有些人觉得没用,一些细小的地方有什么好修改的,改与不改对于代码的运行...

阅读(19)评论(0)赞 (0)

Java

CVE-2020-9484 tomcat session反序列化漏洞分析 原 荐

13

dulong 发布于 2020-07-08

本文借助CVE-2020-9484 Tomcat漏洞详细的介绍了本地和远程调试Tomcat 源码。分析漏洞成因以及补丁修补情况,以及分析ysoserial反序列化链。 0x01 漏洞简介 Apache Tomcat发布通告称修复了一个源于持久化Session的远程代码执行漏洞(C...

阅读(10)评论(0)赞 (0)