标签：漏洞

yeseng 发布于 2020-07-12

权限系统躲不开的概念，在Shiro和Spring Security之间，你一般选啥？在前后端分离的项目中，你知道怎么Spring security整合JWT么，来看看这篇文章哈！ 思维导图如下： RBAC 全称为基于角色的权限控制，本段将会从什么是 RBAC，模型分类，什么是权限...

阅读(7)评论(0)赞 (0)标签：ACE / Action / App / authenticate / Authorization / bean / build / cache / cat / CEO / Collection / core / CTO / db / equals / example / final / find / git / HashMap / HTML / http / https / id / IDE / IO / java / js / json / key / list / logo / map / mapper / message / mybatis / Nginx / NSA / ORM / parse / redis / REST / rmi / Security / Select / Service / servlet / session / spring / Spring Boot / Spring Security / src / ssh / stream / tar / token / UI / value / web / Word / zab / 业务层 / 代码 / 入门教程 / 加密 / 安全 / 实例 / 客户管理 / 幂等 / 微服务 / 插件 / 数据 / 数据库 / 文章 / 时间 / 权限控制 / 模型 / 漏洞 / 管理 / 统计 / 认证 / 软件 / 配置

zhuangli 发布于 2020-07-11

点击“ 开发者技术前线 ”，选择“星标:top:” 在看|星标|留言,  真爱 本文授权转载请注明来自FreeBuf.COM 链接：https://www.freebuf.com/vuls/240578.html 前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一，在...

阅读(14)评论(0)赞 (0)标签：Action / cat / category / Collection / find / git / HTML / http / https / id / IDE / IO / java / map / maven / mybatis / mysql / ORM / Select / spring / sql / src / UI / update / web / XML / 下载 / 代码 / 代码审计 / 参数 / 安全 / 希望 / 开发 / 开发者 / 开源 / 总结 / 数据 / 数据库 / 漏洞 / 程序员 / 索引 / 编译 / 自动生成

yanxinchi 发布于 2020-07-10

0x00 概述 20200706，网上曝出F5 BIGIP TMUI RCE漏洞。 F5的流量管理用户界面（TMUI）存在认证绕过漏洞，导致TMUI模块所有功能可以未授权访问，进而可以读取/写入任意文件，命令执行等。 该漏洞在于Tomcat解析的URL与request.getPa...

阅读(13)评论(0)赞 (0)标签：ACE / cat / cmd / CTO / db / git / GitHub / Google / http / https / id / IO / ip / js / list / Master / MQ / remote / REST / root / Service / shell / sql / src / tar / tomcat / UI / web / 代码 / 关键词 / 删除 / 漏洞 / 目录 / 管理 / 网站 / 解析 / 认证 / 配置

xiaoli.wang 发布于 2020-07-10

未授权访问漏洞是一个在企业内部非常常见的问题，这种问题通常都是由于安全配置不当、认证页面存在缺陷，或者压根就没有认证导致的。当某企业对外的服务端口、功能无限制开放，并且对用户的访问没有做任何限制的时候，可能会泄露出某些用户信息、敏感信息甚至可以执行系统命令，操作系统文件，导致系统...

阅读(9)评论(0)赞 (0)标签：apache / App / apr / cache / cat / db / dist / Elasticsearch / FIT / Google / Hadoop / HBase / HDFS / http / https / id / IO / ip / iptables / java / jenkins / js / json / key / linux / list / map / Master / mongo / MongoDB / MQ / Nginx / node / PHP / plugin / Proxy / redis / REST / RESTful / root / schema / Service / servlet / shell / solr / sql / src / ssh / tab / tar / TCP / tomcat / UDP / UI / value / web / Word / XML / zookeeper / 一致性 / 主机 / 云 / 互联网 / 产品 / 代码 / 企业 / 分布式 / 分布式文件系统 / 分布式系统 / 删除 / 加密 / 参数 / 反向代理 / 同步 / 域名 / 基金 / 备份 / 大数据 / 安全 / 安装 / 家庭 / 开发 / 开源 / 总结 / 排名 / 搜索引擎 / 操作系统 / 教育 / 数据 / 数据库 / 数据库访问 / 数据泄露 / 文件系统 / 智能 / 服务器 / 服务端 / 权限控制 / 注释 / 测试 / 源码 / 漏洞 / 监听器 / 目录 / 科技 / 端口 / 管理 / 系统设置 / 索引 / 缓存 / 认证 / 质量 / 软件 / 远程访问 / 部署 / 配置 / 金融 / 集群 / 领导 / 高可用 / 黑客

darida 发布于 2020-07-10

Java作为企业主流开发语言已流行多年，各种java安全编码规范也层出不穷，本文将从实践角度出发，整合工作中遇到过的多种常见安全漏洞，给出不同场景下的安全编码方式。 本文漏洞复现的基础环境信息：jdk版本：1.8 ，框架：springboot1.5，数据库：mysql5.6和mo...

阅读(13)评论(0)赞 (0)标签：ACE / apache / API / App / bean / build / cat / cmd / CTO / db / DOM / equals / Features / find / git / GitHub / HTML / http / https / iBATIS / id / IO / ip / java / JDBC / js / Lua / map / mongo / MongoDB / MQ / mybatis / mysql / MySQL5 / NOSQL / parse / Property / python / rand / Security / servlet / spring / Spring Boot / Spring Security / springboot / sql / src / stream / Struts2 / tab / token / tomcat / UI / value / web / XML / 代码 / 企业 / 删除 / 加密 / 协议 / 参数 / 同步 / 域名 / 安全 / 并发 / 开发 / 总结 / 数据 / 数据库 / 文件上传 / 时间 / 服务器 / 正则表达式 / 测试 / 漏洞 / 目录 / 空间 / 线程 / 线程同步 / 编译 / 解析 / 认证 / 遍历 / 部署 / 配置

yanxinchi 发布于 2020-07-10

提示：本次为授权友情测试，在厂商确认修复完毕同意后才发表。 之前发了关于自动售货机越权和命令执行的文章，非常受大家欢迎。但是两篇文章都是有前提，就是需要拥有一个账号。所以有了这第三篇，从零渗透自动售货机云端。 前言 前两篇文章写得很简单，实际过程中还是遇到了很多问题，把那些曲折的...

阅读(9)评论(0)赞 (0)标签：ActiveMQ / apache / API / db / Docker / druid / http / https / id / IDE / IO / ip / java / JDBC / jenkins / jetty / JMS / linux / map / mongo / MongoDB / MQ / mysql / provider / redis / root / Service / session / shell / spring / springboot / springcloud / sql / src / ssh / UI / web / 云 / 域名 / 密钥 / 希望 / 开发 / 开源 / 微服务 / 总结 / 数据 / 数据库 / 文章 / 服务器 / 测试 / 测试环境 / 漏洞 / 突破 / 端口 / 管理 / 缓存 / 自动化 / 软件 / 运营 / 部署 / 配置 / 锁 / 阿里巴巴

尖兵 发布于 2020-07-09

0x00、今天我们聊什么? 今天我们聊些啥？许久不见，是该聊些啥了，话不多说，先来个五毛钱得，聊一聊 胡小毛 的 Android 逆向之路吧，当然，你们想知道的一定不是走了这么远的路，胡小毛今年是不是又长高了，那么我们开始看看他又 Get 到的新 zishi 吧（本文内容为 Ma...

阅读(15)评论(0)赞 (0)标签：Android / Android 5.0 / App / cache / cat / db / HTML / HTML5 / http / https / id / IDE / ip / java / js / json / JVM / lib / provider / root / SDN / Service / src / UI / XML / zip / 代码 / 删除 / 加密 / 图片 / 字节码 / 安全 / 安装 / 总结 / 招聘 / 数据 / 漏洞 / 病毒 / 目录 / 神器 / 索引 / 编译 / 遍历 / 配置

yeseng 发布于 2020-07-09

IIS IIS是Internet Information Services的缩写，意为互联网信息服务，是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。 IIS目前只适用于Windows系统，不适用于其他操作系统。 解析漏洞 IIS 6.X 基于文件名...

阅读(12)评论(0)赞 (0)标签：1111 / 2015 / 2019 / ACE / Action / Agent / apache / API / App / Authorization / bean / bug / cat / client / cmd / Collection / Collections / Connection / core / CSS / CTO / db / DDL / Docker / Document / DOM / Enterprise / final / git / GitHub / HashMap / HTML / http / https / HTTP协议 / IBM / id / IO / ip / java / jetty / JMS / js / key / lib / linux / list / logo / map / MQ / Nginx / node / Oracle / ORM / Persistence / PHP / python / remote / root / schema / Security / Service / servlet / shell / SOA / src / tag / tar / tomcat / UI / UTC / value / web / Webapps / WebService / wget / windows / Windows 8 / Windows Server 2003 / Word / wordpress / XML / zip / 下载 / 互联网 / 代码 / 企业 / 修改密码 / 免费 / 初学者 / 删除 / 加密 / 协议 / 参数 / 反向代理 / 图片 / 处理器 / 安全 / 安装 / 并发 / 开发 / 开源 / 微软 / 总结 / 排名 / 操作系统 / 数据 / 数据库 / 文件上传 / 文件系统 / 时间 / 服务器 / 本质 / 构造方法 / 模型 / 正则表达式 / 测试 / 测试环境 / 漏洞 / 目录 / 端口 / 管理 / 编译 / 网站 / 美国 / 解析 / 认证 / 调试 / 质量 / 软件 / 进程 / 远程访问 / 遍历 / 部署 / 配置 / 需求

darida 发布于 2020-07-09

fastjson反序列化已经是近几年继Struts2漏洞后，最受安全人员欢迎而开发人员抱怨的一个漏洞了。 目前分析Fastjson漏洞的文章很多，每次分析文章出来后，都是过一眼就扔一边了。正好最近在学习反序列化的内容，对<1.2.48版本的漏洞再做一次分析，借鉴和学习了很多...

阅读(11)评论(0)赞 (0)标签：2019 / ACE / App / apr / ask / autocommit / bean / cache / cat / CEO / dataSource / db / dependencies / entity / equals / example / Features / final / find / git / GitHub / HashMap / HashSet / http / https / id / IDE / IO / ip / java / JDBC / JPA / js / json / key / ldap / lib / map / maven / mina / mmap / MQ / ORM / parse / Property / python / rand / REST / rmi / sql / src / ssl / Struts2 / tab / tar / token / UI / value / 安全 / 开发 / 总结 / 文章 / 漏洞 / 目录 / 缓存 / 编译 / 解析 / 调试 / 遍历 / 配置

changyuan.xu 发布于 2020-07-08

导读： COLA 的主要目的是为应用架构提供一套简单的可以复制、可以理解、可以落地、可以控制复杂性的”指导和约束"。 在实践中作者发现 COLA 在简洁性上仍有不足， 因此给 COLA 做了一次“升级”，在这次升级中，没有增加任何新的功能，而是尽量多删减了一些概念和功能...

阅读(15)评论(0)赞 (0)标签：AOP / bean / bus / cat / category / classpath / cmd / CSS / CTO / db / ECS / executor / git / GitHub / http / https / id / IDE / IO / ip / java / lib / list / provider / rand / Service / spring / src / tab / tar / UI / validator / 云 / 代码 / 分布式 / 命令模式 / 地球 / 希望 / 应用架构 / 开发 / 开发者 / 开源 / 总结 / 数据 / 数据库 / 文章 / 本质 / 模型 / 漏洞 / 系统架构 / 适配器 / 配置 / 阿里云

dulong 发布于 2020-07-08

本文借助CVE-2020-9484 Tomcat漏洞详细的介绍了本地和远程调试Tomcat 源码。分析漏洞成因以及补丁修补情况，以及分析ysoserial反序列化链。 0x01 漏洞简介 Apache Tomcat发布通告称修复了一个源于持久化Session的远程代码执行漏洞（C...

阅读(10)评论(0)赞 (0)标签：Agent / apache / App / bug / cat / Collection / Collections / CTO / dependencies / git / GitHub / HTML / http / https / id / IDE / IO / ip / java / js / lib / list / loadrunner / MQ / node / ORM / queue / remote / REST / rmi / root / session / src / stream / swap / tar / TCP / tomcat / Transport / UI / value / web / XML / 下载 / 代码 / 协议 / 文件上传 / 服务器 / 源码 / 漏洞 / 目录 / 端口 / 索引 / 调试 / 远程调试 / 部署 / 配置