标签:漏洞

Java

看我如何突破JFinal黑名单机制实现任意文件上传

6

Harries 发布于 2019-08-14

Author:平安银行应用安全团队-Glassy 引言 JFinal是国产优秀的web框架,短小精悍强大,易于使用。近期团队内一名小伙伴(LuoKe)在安全测试的时候报了一个很玄学的任意文件上传,笔者本着知其然必知其所以然的态度去跟进了一下问题代码,发现问题系统在处理上传文件功能...

阅读(17)评论(0)赞 (0)

编程技术

学完这100多技术,能当架构师么?(非广告)

16

dulong 发布于 2019-08-14

原创:小姐姐味道(微信公众号ID:xjjdog),欢迎分享,转载请保留出处。 前几天,有个搞培训的朋友,和我要一份java后端的进阶路线图,我就把这篇文章发给了他 《必看!java后端,亮剑诛仙》 。今天,又想要个java后端目前最常用的工具和框架,正好我以前画过这样一张图,于是...

阅读(19)评论(0)赞 (0)

编程技术

apache架构网站安全防护解决方案

4

darida 发布于 2019-08-12

apache最近爆出的漏洞越来越多,旗下的solr产品存在远程服务器执行恶意代码漏洞,该漏洞产生的主要原因是因为apache dataimporthandler数据外部收集的一个端口模块,该模块支持从远程的地址进行通信,并多数据进行收集,正因为开放了远程地址,可导致攻击者构造恶意...

阅读(25)评论(0)赞 (0)

Java

WebLogic安全研究报告

78

yanxinchi 发布于 2019-08-12

可能是你能找到的最详细的WebLogic安全相关中文文档 序 从我还未涉足安全领域起,就知道WebLogic的漏洞总会在安全圈内变成热点话题。WebLogic爆出新漏洞的时候一定会在朋友圈刷屏。在从事安全行业之后,跟了几个WebLogic漏洞,写了一些分析,也尝试挖掘新漏洞和绕过...

阅读(13)评论(0)赞 (0)

编程技术

Github架构师解读C/C++应用包管理的Why和How

26

邓龙华 发布于 2019-08-12

关注世界领先 DevOps 平台 JFrog 背景 本文整理自Johannes Nicolai在JFrog 2019用户大会上的讲演《DevOps for Non-Hipsters(aka C/C++ programmers)》。 Johannes Nicolai是Github的...

阅读(25)评论(0)赞 (0)

编程技术

什么是微内核?微内核操作系统有哪些?微内核代码功能特性介绍及值得关注的微内核操作系统列表

changyuan.xu 发布于 2019-08-11

2019年8月9日,华为在开发者大会上正式宣布了鸿蒙操作系统(Harmony OS),该系统其中一个亮点就是微内核。那么什么是微内核呢?微内核(microkernel)是一种内核设计架构,其设计理念是将系统服务与系统的基本操作区分开,由尽可能最小化的软件实现一个操作系统所需要的最...

阅读(21)评论(0)赞 (0)

Java

国家漏洞库CNNVD:2019年7月漏洞月报

27

hanze 发布于 2019-08-09

本期导读 漏洞态势 根据国家信息安全漏洞库(CNNVD)统计,2019年7月份采集安全漏洞共1670个。 本月接报漏洞共计7982个,其中信息技术产品漏洞(通用型漏洞)96个,网络信息系统漏洞(事件型漏洞)7886个。 重大漏洞预警 1、Fastjson远程代码执行漏洞(CNNV...

阅读(44)评论(0)赞 (0)

Java

OpenRASP新增JNI防护、黑链定位支持 | 获得大型金融企业用户致谢

7

likai 发布于 2019-08-08

OpenRASP 是百度安全推出的一款开源、免费的自适应安全产品,目前与国际知名非盈利安全组织 OWASP(Open Web Application Security Project)达成深度合作,现已加入到OWASP全球技术项目中,在全球范围内进行大规模推广。OpenRASP将...

阅读(33)评论(0)赞 (0)

Java

写给 Java 工程师的数据库事务!

17

xubiao.zhuang 发布于 2019-08-07

中华石杉 老师最新力作: 《21天互联网Java进阶面试训练营》 (分布式篇) 彻底解决 Java 工程师 面试一线互联网大厂 的各种痛点 扫描下方二维码, 试听课程 : (详细课程目录参见文末) 认识事务 1.1 为什么需要数据库事务 转账是生活中常见的操作,比如从A...

阅读(29)评论(0)赞 (0)

Java

【日常开发】远程调试

尖兵 发布于 2019-08-06

日常搬砖,日常踩坑,越来越对自己的开发技巧产生质疑,唯有慢慢积累才成。 远程调试简介 从事后端开发以来,与客户端开发很大的不同,就是要定位服务器上代码的漏洞。 1、对异常处理、日志收集要求高了。 2、服务器上分析问题的情况多了,不是用手机操作定位问题了。 定位服务器上的代码漏洞 ...

阅读(18)评论(0)赞 (0)

Java

缓存策略解析

邓龙华 发布于 2019-08-05

在看java缓存策略之前先看一下目前java中存在的淘汰机制。 这里主要讲的是LFU,LRU,FIFO: FIFO(First in First out),先进先出。其实在操作系统的设计理念中很多地方都利用到了先进先出的思想,比如作业调度(先来先服务),为什么这个原则在很多地方都...

阅读(30)评论(0)赞 (0)

编程技术

企业安全体系架构分析:开发安全架构之可用性架构深入讲解

11

xiaoli.he 发布于 2019-08-05

之前发布了一篇文章《 企业安全体系架构分析:开发安全架构之可用性架构 》,其中粗略的讲解了一下可用性架构的设计理念,应读者要求,这篇文章将深入讲解什么是可用性架构。 首先我们从整体架构来看,其实安全所关心的无非是3要素:可用性、完整性、机密性。 那么什么是可用性? 可用性在CIS...

阅读(25)评论(0)赞 (0)

Java

JDBC:你总得学着去连接数据库!

1

puefu.he 发布于 2019-08-04

JDBC :带它再爱你一次 (一) JDBC 入门 (1) 概述 Java数据库连接,(Java Database Connectivity,简称JDBC)是Java语言中用来规范 客户端 程序如何来 访问数据库 的应用程序接口,提供了诸如查询和更新数据库中数据的方法。JDBC也...

阅读(37)评论(0)赞 (0)

Java

企业安全体系建设方案设计(内附案例)

2

changyuan.xu 发布于 2019-08-03

今天讲一讲安全体系建设方案,对于企业来说,安全体系一直是比较关心的话题,无论大企业还是小企业都对于如何建设安全体系以及什么是安全,存在一定的疑问,这篇文章就从基础组成的角度来讨论一下安全架构的建设。 安全架构包括哪些方面? 物理方面 比如机房的安全,物理服务器的安全,硬盘的安全。...

阅读(38)评论(0)赞 (0)

Java

Google Guava 缓存(下)

1

尖兵 发布于 2019-08-02

缓存回收 一个残酷的现实是,我们几乎一定没有足够的内存缓存所有数据。 你你必须决定: 什么时候某个缓存项就不值得保留了? Guava Cache提供了三种基本的缓存回收方式: 基于容量回收、定时回收和基于引用回收。 基于容量的回收(size-based eviction) 如果要...

阅读(27)评论(0)赞 (0)

Java

最新fastjson反序列化漏洞分析

14

yeseng 发布于 2019-08-02

前言 写的有点多,可能对师傅们来说比较啰嗦,不过这么写完感觉自己也就明白了 poc newPoc.java import com.alibaba.fastjson.JSON; public class newPoc { public static void main(String...

阅读(32)评论(0)赞 (0)

Java

收下这张小贴士,填补那些年在HQL注入留下的坑

7

changyuan.xu 发布于 2019-08-02

前言 SQL注入是一种大家非常熟悉的攻击方式,目前网络上有大量存在注入漏洞的DBMS(如MySQL,Oracle,MSSQL等)。但是缺少针对hibernate查询语言的相关资源,以期本文能给在渗透测试时能给各位多提供一条路。 HQL查询并不直接发送给数据库,而是由hiberna...

阅读(23)评论(0)赞 (0)