标签:漏洞

Java

CVE-2019-2729 Weblogic XMLDecoder反序列化漏洞分析

9

yanxinchi 发布于 2019-06-20

漏洞分析 该漏洞是 CVE-2019-2725 的绕过,因此前面的流程都是一样的,经过21个 handler 处理,最终进入 WorkAreaHeader 在4月份 oracle 对2725紧急补丁中,过滤了 class 元素,因此不能再通过 class 创建对象 这次的绕过实际...

阅读(6)评论(0)赞 (0)

Java

如何排查Java内存泄漏?看完我给跪了!

5

hanze 发布于 2019-06-20

没有经验的程序员经常认为Java的自动垃圾回收完全使他们免于担心内存管理。这是一个常见的误解:虽然垃圾收集器做得很好,但即使是最好的程序员也完全有可能成为严重破坏内存泄漏的牺牲品。让我解释一下。 当不必要地维护不再需要的对象引用时,会发生内存泄漏。这些泄漏很糟糕。首先,当程序消耗...

阅读(6)评论(0)赞 (0)

Java

从CVE-2019-2729谈Weblogic XML RCE的绕过史

26

hellas 发布于 2019-06-19

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担 从 CVE-2017-3506 为起点至今,weblogic 接二连三的吧爆出了大量的反序列化漏洞,而这些反序列化漏洞的很大一部分,都是围绕着 XMLDecoder...

阅读(17)评论(0)赞 (0)

编程技术

针对微控制器的时钟错误注入攻击

10

songhua.gao 发布于 2019-06-19

译者注:这是一篇14年的文章,但是所写的内容一点都不过时,文中详细介绍了如何自己DIY一个低成本的错误注入设备,并如何具体实施攻击,希望本文可以启发读者,做出更有意思的攻击。 原文: http://www.t4f.org/articles/fault-injection-atta...

阅读(16)评论(0)赞 (0)

Java

预警| WebLogic Server再曝高危0 day漏洞

4

hellas 发布于 2019-06-18

6月11日,阿里云安全团队发现WebLogic CVE-2019-2725补丁绕过的0day漏洞,并第一时间上报Oracle官方, 6月12日获得Oracle官方确认。由于Oracle尚未发布官方补丁,漏洞细节和真实PoC也未公开,为保障客户的安全性,阿里云Web应用防火墙(WA...

阅读(18)评论(0)赞 (0)

编程技术

为什么说优秀架构师往往是一个悲观主义者?

13

hanze 发布于 2019-06-18

阿里妹导读:18年前, 200家企业由于在事故中信息系统遭到严重破坏而永远地关闭了。这样的事故引发了后人深思,对于工程师而言,不仅要求设计的系统足够强壮,还需要具备考虑失败的能力,当失败场景悉数被考虑周全、并且结合充分的演练,一切会不会不一样?我们熟知面向对象设计和面向程序设计,...

阅读(15)评论(0)赞 (0)

Java

Java异常处理的最佳实践

1

likai 发布于 2019-06-18

编辑推荐: 本文来自于segmentfault.com, Java异常,大家都很熟悉。那么具体操作是怎么样的呢?下面从基础开始,带大家一块了解是怎么实践的。 本文是关于 Exception 处理的一篇不错的文章,从 Java Exception 的概念介绍起,依次讲解了 Exce...

阅读(13)评论(0)赞 (0)

Java

【快学SpringBoot】过滤XSS脚本攻击(包括json格式)

3

xirruiqiang 发布于 2019-06-17

XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 简而言之,就是作恶用户通过表...

阅读(16)评论(0)赞 (0)

Java

漏洞预警| Weblogic wls-wsat远程命令执行(哨兵云支持检测)

1

邓龙华 发布于 2019-06-17

WebLogic Server是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件。它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理过程。近日,有安全研究员发现Weblogic wls-wsat组件中存在高...

阅读(18)评论(0)赞 (0)

Java

CNNVD 关于Oracle WebLogic Server远程代码执行漏洞的通报

Harries 发布于 2019-06-17

近日,国家信息安全漏洞库(CNNVD)收到关于Oracle WebLogic Server远程代码执行漏洞(CNNVD -201906-596)情况的报送。攻击者可利用该漏洞在未授权的情况下发送攻击数据,实现任意代码执行。该漏洞是由于Oracle WebLogic Server一...

阅读(22)评论(0)赞 (0)

Java

漏洞预警 | Oracle WebLogic XMLDecoder反序列化漏洞(CVE-2019-2725绕过)

2

yanxinchi 发布于 2019-06-16

一、前言 Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器...

阅读(24)评论(0)赞 (0)

编程技术

基于安全管理控制平台的铁路旅客隐私信息保护技术架构

2

xirruiqiang 发布于 2019-06-16

摘要:随着我国高速铁路的发展,铁路出行成为主要客运途径之一。作为铁路运输的主要营收系统,全国铁路客票预订与发售系统支持窗口、代理点、移动终端、网络等多种售票方式,成为全国最大的网上交易系统。由于铁路系统的分布式、跨地域、覆盖全国的特点,具有典型的大数据特征,服务旅客范围覆盖全国1...

阅读(34)评论(0)赞 (0)

Java

WebLogic 反序列化0day漏洞(CVE-2019-2725补丁绕过)预警

2

hanze 发布于 2019-06-16

0x00 事件背景 2019年06月15日,360CERT监测到在野的Oracle Weblogic远程反序列化命令执行漏洞,该漏洞绕过了最新的Weblogic补丁(CVE-2019-2725),攻击者可以发送精心构造的恶意HTTP请求,在未授权的情况下远程执行命令。目前官方补丁...

阅读(31)评论(0)赞 (0)

Java

Oracle WebLogic已修复漏洞遭挖矿木马滥用

1

darida 发布于 2019-06-15

据美国网络安全公司趋势科技的研究人员称,Oracle WebLogic中最近修补的CVE-2019-2725漏洞正在被用于加密攻击。 WebLogic是美国Oracle公司出品的一个Java EE应用服务器,是一个基于JAVAEE架构的中间件,用于开发、集成、部署和管理大型分布式...

阅读(24)评论(0)赞 (0)

Java

2019神盾杯上海市网络安全竞赛Web题解

34

邓龙华 发布于 2019-06-14

本场比赛Web类题目共有11题,本WP仅写了其中9题,由于环境关闭,剩余两题未能复盘。 easyadmin cookie使用了jwt,爆破key并伪造role值为admin,登陆即可获得flag easygallery-1 HTML源码里面提示 <?php $flag='f...

阅读(25)评论(0)赞 (0)

Java

JRMP安全问题分析-从CVE到CTF

10

小丁 发布于 2019-06-14

这篇文章将会分析weblogic JRMP问题,进而去回顾2019DDCTF中再来一杯java的那个题目,文章如果有理解错误、写错的地方,麻烦师傅们斧正。 环境搭建 $ cat docker-compose.yml version: '2' services: weblogic:...

阅读(32)评论(0)赞 (0)

Java

CVE-2016-5003 xmlrpc反序列化漏洞

3

wenming.gapo 发布于 2019-06-13

一、xmlrpc简介 Apache XML-RPC是一个java的XML-RPC库。XML-RPC是在XML的帮助下通过HTTP进行远程过程调用的协议。 Apache XML-RPC可以在客户端用于进XML-RPC调用,也可以在服务器端用XML-RPC公开一些函数。现在ws-xm...

阅读(20)评论(0)赞 (0)

编程技术

优秀工程师必备的一项技能,你解锁了吗?

16

songhua.gao 发布于 2019-06-13

阿里妹导 读 :很多程序员在工作一段时间后会遇到迷茫期,虽有技术傍身,也难免会产生焦虑,反复思考怎样才能快速成长。关于如何提高自己的思考力,运用思考的力量推动能力提升,以此实现技术成长,阿里巴巴盒马产品技术部的岩动总结了一套思考方法,分享给每个正在成长的程序员。(本篇文章较长,阅...

阅读(27)评论(0)赞 (0)