标签:漏洞
zhuangli 发布于 2020-01-16
近日,国家信息安全漏洞库(CNNVD)收到关于Oracle Weblogic T3协议安全漏洞(CNNVD-202001-667、CVE-2020-2546)和Oracle Weblogic WLS组件IIOP协议安全漏洞(CNNVD-202001-675、CVE-2020-25...
阅读(14)赞 (0)标签:HTML / http / https / IO / java / Oracle / Security / web / 云 / 代码 / 协议 / 安全 / 开发 / 数据 / 文章 / 服务器 / 漏洞 / 生命 / 科技 / 管理 / 美国 / 部署
hanze 发布于 2020-01-15
![]()
0x00 漏洞背景 2020年1月15日,360CERT监测到oracle官方发布了CVE-2020-2546漏洞通告,漏洞等级为高危。 Weblogic是Oracle出品的用于构建和部署企业Java EE应用程序的中间件,被企业用户广泛应用于生产环境中。 T3是用于在WebLo...
阅读(22)赞 (0)标签:Connection / DOM / http / https / id / IO / java / JVM / Oracle / Security / src / UI / update / web / 代码 / 企业 / 协议 / 安全 / 时间 / 服务器 / 漏洞 / 部署 / 配置
darida 发布于 2020-01-15
静态代码扫描存在的价值 研发过程,发现BUG越晚,修复的成本越大 缺陷引入的大部分是在编码阶段,但发现的更多是在单元测试、集成测试、功能测试阶段 统计证明,在整个软件开发生命周期中,30% 至 70% 的代码逻辑设计和编码缺陷是可以通过静态代码分析来发现和修复的 以上三点证明了,...
阅读(13)赞 (0)标签:Android / bug / http / https / id / java / js / linux / PHP / pinpoint / python / sql / UI / 互联网 / 产品 / 代码 / 单元测试 / 字节码 / 安全 / 实例 / 并发 / 开发 / 开源 / 开源项目 / 数据 / 时间 / 模型 / 测试 / 漏洞 / 生命 / 科技 / 管理 / 组织 / 统计 / 编译 / 美国 / 质量 / 软件 / 金融 / 领导
yanxinchi 发布于 2020-01-15
原创文章,转载请标明出处: Soul Orbit 本文链接地址: 后台服务扩展 —— 原则篇 服务扩展是几乎每个做后台服务的开发都遇到过的问题,当业务大到一定的水平,当前的服务快要承受不住业务压力的时候,我们就要进行扩展了。最近我们项目也在做类似服务扩展的事情,所以想把我之前学的...
阅读(14)赞 (0)标签:Architect / bug / DOM / Google / HTML / http / id / IO / ip / java / jetty / mysql / Oracle / PHP / SDN / Service / spring / sql / tab / tag / web / 一致性 / 产品 / 代码 / 企业 / 分布式 / 分布式系统 / 删除 / 压力 / 噪音 / 地球 / 备份 / 学生 / 安全 / 实例 / 希望 / 开发 / 微服务 / 快的 / 总结 / 投资 / 探针 / 数据 / 数据库 / 文章 / 时间 / 本质 / 架构师 / 测试 / 测试环境 / 漏洞 / 灰度发布 / 生命 / 管理 / 组织 / 缩小 / 网站 / 自动化 / 调试 / 质量 / 软件 / 部署 / 需求
刘莉莉 发布于 2020-01-15
静态代码扫描存在的价值 研发过程,发现BUG越晚,修复的成本越大 缺陷引入的大部分是在编码阶段,但发现的更多是在单元测试、集成测试、功能测试阶段 统计证明,在整个软件开发生命周期中,30% 至 70% 的代码逻辑设计和编码缺陷是可以通过静态代码分析来发现和修复的 以上三点证明了,...
阅读(15)赞 (0)标签:Android / bug / http / https / id / java / js / linux / PHP / pinpoint / python / sql / UI / 互联网 / 产品 / 代码 / 单元测试 / 字节码 / 安全 / 实例 / 并发 / 开发 / 开源 / 开源项目 / 数据 / 时间 / 模型 / 测试 / 漏洞 / 生命 / 科技 / 管理 / 组织 / 统计 / 编译 / 美国 / 质量 / 软件 / 金融 / 领导
xiaoli.he 发布于 2020-01-14
![]()
微信公众号:bugstack虫洞栈 | 博客: bugstack.cn 沉淀、分享、成长,专注于原创专题案例,以最易学习编程的方式分享知识,让自己和他人都能有所收获。目前已完成的专题有;Netty4.x实战专题案例、用Java实现JVM、基于JavaAgent的全链路监控、手写R...
阅读(11)赞 (0)标签:2019 / ACE / Action / Agent / apache / API / App / ArrayList / bug / build / cat / CEO / Connection / CTO / dataSource / db / Document / DOM / final / find / HashMap / http / https / iBATIS / id / IDE / IO / java / javaagent / JDBC / js / json / JVM / key / list / Logback / map / mapper / mybatis / mysql / Netty / node / NSA / parse / Property / REST / ResultSet / root / Select / session / spring / sql / sqlsession / SqlSessionFactory / SqlSessionFactoryBuilder / src / ssl / Statement / stream / tag / UI / update / value / web / Word / XML / 下载 / 专注 / 事故 / 代码 / 内容展示 / 博客 / 参数 / 开发 / 微信公众号 / 总结 / 数据 / 数据库 / 时间 / 架构设计 / 测试 / 源码 / 漏洞 / 程序员 / 空间 / 解析 / 连接池 / 遍历 / 配置
xubiao.zhuang 发布于 2020-01-14
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
编辑推荐: 本篇分别从微服务架构下开展单元测试的意义、对单元测试的常见误解以及如何开展单元测试三个方面进行介绍希望对您的学习有所帮助。 本文来自于知乎 ,由火龙果软件Alice编辑、推荐。 在微服务架构下高覆盖率的单元测试是保障代码质量的第一道也是最重要的关口,应该持之以恒。 背...
阅读(13)赞 (0)标签:bean / bug / eclipse / http / https / id / IDE / ip / java / jenkins / junit / Master / Service / spring / Spring Boot / Spring cloud / springboot / src / tab / tar / UI / 产品 / 代码 / 单元测试 / 参数 / 可测性 / 安装 / 定制 / 工程师 / 希望 / 开发 / 微服务 / 快的 / 总结 / 插件 / 数据 / 文章 / 时间 / 本质 / 测试 / 源码 / 漏洞 / 目录 / 统计 / 自动化 / 覆盖率 / 质量 / 软件 / 遍历 / 需求
likai 发布于 2020-01-14
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
Hessian是一个轻量级的RPC框架。它基于HTTP协议传输,使用Hessian二进制序列化,对于数据包比较大的情况比较友好。 Hessian反序列化类似Java反序列化,可导致RCE,POC好像2017年就公开了,但是最新版本hessian-4.0.60.jar,经过测试也存...
阅读(19)赞 (0)标签:App / bean / cat / ELK / git / GitHub / HTML / http / https / HTTP协议 / IO / java / python / Service / servlet / spring / src / tomcat / UI / web / XML / 下载 / 代码 / 协议 / 数据 / 服务器 / 测试 / 测试环境 / 漏洞 / 目录 / 编译 / 配置
zhuangli 发布于 2020-01-13
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
前言 很久没有整理实战文章了,恰好这周项目上有一个目标折腾了两天时间,记录分享下其中的心路历程(本次渗透过程均在目标授权下进行,请勿进行非法渗透行为)。 目标基本信息 某政务网站 服务器–windows 数据库–未知 中间件–Tomcat 开发语言–java 未使用CDN 存在w...
阅读(40)赞 (0)标签:cache / cat / CDN / client / cmd / description / HTML / http / https / id / IDE / IO / ip / java / js / key / logo / MQ / NotePad / PHP / Powershell / provider / Proxy / remote / REST / Security / shell / src / stream / tomcat / UI / URLs / web / windows / Word / XML / 下载 / 互联网 / 代码 / 企业 / 删除 / 加密 / 图片 / 安全 / 安装 / 开发 / 微软 / 总结 / 操作系统 / 数据 / 数据库 / 文件上传 / 文章 / 时间 / 服务器 / 测试 / 源码 / 漏洞 / 端口 / 管理 / 网站 / 解析 / 进程 / 配置
尖兵 发布于 2020-01-12
![]()
0 欢迎关注 Github 欢迎关注全是干货的技术公众号 1 面试题 Redis的过期策略都有哪些?内存淘汰机制都有哪些?手写一下LRU代码实现? 2 考点分析 1)往redis里写的数据怎么没了? 生产环境的redis怎么经常会丢掉一些数据?写进去了,过一会儿可能就没了。 问这...
阅读(10)赞 (0)标签:bug / cache / cpu负载 / DOM / final / git / GitHub / HashMap / http / https / id / IDE / IO / java / key / map / rand / redis / src / UI / value / volatile / 代码 / 删除 / 博客 / 回答 / 工程师 / 并发 / 数据 / 时间 / 漏洞 / 空间 / 突破 / 缓存 / 遍历 / 高并发
刘莉莉 发布于 2020-01-10
![]()
![]()
![]()
![]()
从Java 9开始,Java版本的发布就让人眼花缭乱了。 每隔6个月,都会冒出一个新版本出来,Java 10 , Java 11, Java 12, Java 13, 到2020年3月份,Java 14就要来了。 说实话,这种频繁的发布有点儿让人审美疲劳,每次我看到介绍Java新...
阅读(15)赞 (0)标签:http / https / IO / java / Java 9 / NIO / Oracle / src / UI / web / 函数式编程 / 初学者 / 安全 / 开发 / 开发者 / 快的 / 操作系统 / 敏捷 / 文章 / 时间 / 架构师 / 漏洞 / 程序员 / 软件
changyuan.xu 发布于 2020-01-10
学习Java必须避开的十大致命雷区,千万不要踩! 1、研究太多,实践太少 在编程方面缺乏实践是十分致命的。从第一天开始学习,就要每天练习编程。就如同学习拳击或跳舞,如果只通过视频学习,永远也学不会这些。除非你把练习编程变成一种日常习惯,否则永远不会对编程有信心。 2、没有目标和计...
阅读(13)赞 (0)标签:CTO / http / https / java / java基础 / 互联网 / 代码 / 免费 / 初学者 / 工作原理 / 快的 / 文章 / 时间 / 测试 / 漏洞 / 程序员 / 调试 / 进程
小丁 发布于 2020-01-10
![]()
前言 Fuzzing一直以来是漏洞挖掘非常有效的方式,我最喜欢的工具仍然是经久不衰的AFL,你可以基于AFL来打造各种fuzz工具,当然这得益于AFL中最具有魔性的遗传算法corpus变异,还记得吗,仅凭“hello”几个字符就能产生无数个有效的input输入,鹅妹子嘤!但现在有...
阅读(13)赞 (0)标签:ACE / apache / bug / build / classpath / CTO / DOM / git / GitHub / HTML / http / https / id / IDE / IO / java / JVM / lib / Master / queue / src / TCP / UI / 参数 / 安装 / 开发 / 数据 / 数据库 / 测试 / 漏洞 / 目录 / 端口 / 线程 / 组织 / 编译 / 自动化 / 软件
Harries 发布于 2020-01-08
![]()
本文原创,更多内容可以参考: Java 全栈知识体系 。如需转载请说明原处。 CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的...
阅读(49)赞 (0)标签:ACE / Ajax / API / App / authenticate / bug / build / cat / cookies / Developer / Document / DOM / ECS / equals / example / final / HashSet / HTML / http / https / IBM / id / IDE / IO / ip / java / JavaScript / js / key / list / logo / mail / map / ORM / plugin / REST / rmi / SDN / Security / servlet / session / spring / Spring Security / sql / src / ssh / tar / token / UI / value / web / Word / XML / XSS攻击 / 互联网 / 代码 / 协议 / 参数 / 域名 / 安全 / 广告 / 开发 / 总结 / 拒绝策略 / 数据 / 文章 / 服务器 / 本质 / 测试 / 源码 / 漏洞 / 程序员 / 站点 / 网站 / 自动生成 / 解析 / 认证 / 资金 / 遍历 / 银行 / 黑客 / 黑客攻击
hellas 发布于 2020-01-08
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
Ghidra是美国NSA开源的一款跨平台软件逆向工具, 目前支持的平台有Windows, macOS及Linux并提供了反汇编、汇编、反编译等多种功能。由于Ghidra是开源项目,目前目前已经有大量的安全研究人员为其编写插件来不断扩展功能,此外Ghidra还支持多种C...
阅读(20)赞 (0)标签:2019 / ACE / API / ask / git / GitHub / HTML / http / https / id / IO / ip / lib / linux / Master / node / NSA / ORM / Security / src / tar / UI / value / web / windows / 下载 / 代码 / 参数 / 图片 / 处理器 / 安全 / 安装 / 定制 / 希望 / 开源 / 开源项目 / 总结 / 插件 / 数据 / 文章 / 测试 / 漏洞 / 目录 / 编译 / 美国 / 自动化 / 软件 / 遍历 / 配置 / 需求
yeseng 发布于 2020-01-08
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
云改变了IT行业的形态和市场格局,催生了应用的发展。随着云计算技术的不断演进,作为一名优秀的架构师,必须深入了解云计算平台的特点及架构设计,包括构建数据库、大规模落地微服务、Service Mesh和全链路监控等才能紧跟时代的步伐。 12月21日,京东云开发者社区和英特尔联合举办...
阅读(26)赞 (0)标签:2015 / 2019 / Agent / API / App / Cassandra / cmd / db / Docker / http / https / IaaS / id / IO / ip / linux / MQ / mysql / Mysql数据库 / NIO / ORM / redis / Service / sql / src / UI / 业务层 / 业务方向 / 主机 / 云 / 互联网 / 井 / 产品 / 京东 / 京东数据 / 代码 / 企业 / 分布式 / 创业 / 创业者 / 协议 / 双11 / 同步 / 备份 / 安全 / 定制 / 实例 / 希望 / 并发 / 开发 / 开发者 / 开源 / 微服务 / 总结 / 推广 / 操作系统 / 数据 / 数据库 / 时间 / 智能 / 服务器 / 架构师 / 架构演进 / 架构设计 / 模型 / 测试 / 漏洞 / 生命 / 管理 / 系统架构 / 统计 / 缓存 / 编译 / 自动化 / 自动备份 / 营销 / 虚拟化 / 解析 / 负载均衡 / 质量 / 软件 / 运营 / 部署 / 配置 / 集群 / 需求 / 高可用
changyuan.xu 发布于 2020-01-08
![]()
今天分享几点关于越权漏洞(IDOR)的发现经验,这类型漏洞通常发生在Web应用提供给用户基于输入的对象中,漏洞造成的影响将会致使攻击者可以绕过授权限制,访问到目标系统内其它不应该被访问到的资源或数据。 IDOR概述 简单来说,假设目标网站有两个用户U1和U2,两者账户中都存储有个...
阅读(21)赞 (0)标签:2019 / Agent / API / App / Apple / cat / Chrome / Connection / db / DOM / GMT / HTML / http / https / id / IO / ip / key / mail / message / ORM / PHP / Service / src / UI / web / windows / Word / XML / zip / 加密 / 参数 / 数据 / 服务端 / 权限控制 / 测试 / 漏洞 / 管理 / 编译 / 网站 / 自动化
puefu.he 发布于 2020-01-08
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
大家好我是掌控安全学院的魔术手。 随着web安全从业人员的增多,很多人都有个疑问:怎么洞越来越难挖了!!?大网站是不是没有这些漏洞!!? 原因是多样性的,一方面是漏洞隐藏的越来越深,另一方面是网站的架构正在发生改变;所以我们除了要提升自己的技术能力之外,我们也要顺应互联网的发展,...
阅读(17)赞 (0)标签:ACE / apache / API / Docker / dubbo / find / git / GitHub / HTML / http / https / id / IO / ip / js / NFV / Nginx / ORM / REST / RESTful / SOA / src / UI / URLs / web / 云 / 互联网 / 公网IP / 分布式 / 博客 / 压力 / 参数 / 域名 / 安全 / 应用架构 / 开发 / 微服务 / 数据 / 文章 / 时间 / 服务器 / 测试 / 漏洞 / 目录 / 管理 / 网站 / 网站流量 / 软件 / 进程 / 部署 / 集群 / 需求
