标签:漏洞

编程技术

独角兽暑期训练营 | 嵌入式固件自动化漏洞扫描方法研究

22

yanxinchi 发布于 2018-12-06

该课题由独角兽安全夏令营第二届学员黄瑞同学完成 独角兽暑期训练营 360无线电安全研究院每年暑假都会面向在校学生举办一次暑期训练营,申请者投递简历并提交自己想做的课题介绍后,若入选,会在360技术专家的指导下完成课题。 本系列文章会发布今年5位学员在训练营中的成果。文章相关代码后...

阅读(31)评论(0)赞 (0)

编程技术

K8S应用于生产环境 vs. K8s应用于开发环境的4个空想

wenming.gapo 发布于 2018-12-03

当容器和K8S的IT管理团队把本地变更部署在生产环境的时候,往往面对很多要学习的东西。 最近我们澄清了一些大家在进行K8S实验的时候所面对的常见的误解。其中最大的一个误解就是:在生产环境中运行K8S和开发测试环境并无两样。 答案:是不一样的。 Avi Network公司的联合创始...

阅读(27)评论(0)赞 (0)

Java

struts2架构网站漏洞修复详情与利用漏洞修复方案

3

hanze 发布于 2018-12-03

struts2从开发出来到现在,很多互联网企业,公司,平台都在使用apache struts2系统来开发网站,以及应用系统,这几年来因为使用较多,被攻击者挖掘出来的struts2漏洞也越来越,从最一开始S2-001到现在的最新的s2-057漏洞,本文着重的给大家介绍一下strut...

阅读(14)评论(0)赞 (0)

Java

CVE-2018-11776: Apache Struts OGNL沙箱绕过

14

yeseng 发布于 2018-12-02

本文讲述如何构建CVE-2018-11776的漏洞利用。 Struts OGNL利用史 首先介绍一些背景和概念以帮助理解OGNL利用的过程。首先介绍下OGNL的基本概念。 OGNL执行环境 在Struts的中,OGNL可以使用#符号访问全局对象。本文介绍一些可以访问的对象,其中列...

阅读(22)评论(0)赞 (0)

Java

排行前十的Helm工具集

yeseng 发布于 2018-12-01

【编者的话】目前已经有很多的关于集群以及DNS管理的组件,在本文中我会提及到当前top10的Helm来帮助你更多的了解Kubernates,微服务等。 怎么替你全新的Kubernates集群找到最合适的Helm工具集合? 下面是值得选择的方案列表。 | | 名称 | 选择理由 |...

阅读(26)评论(0)赞 (0)

编程技术

致传统企业朋友:不够痛就别微服务,有坑

35

尖兵 发布于 2018-12-01

微服务落地是一个复杂问题,牵扯到IT架构,应用架构,组织架构多个方面 在多家传统行业的企业走访和落地了微服务之后,发现落地微服务是一个非常复杂的问题,甚至都不完全是技术问题。 当时想微服务既然是改造应用,做微服务治理,类似注册,发现,熔断,限流,降级等,当然应该从应用开发组切入,...

阅读(44)评论(0)赞 (0)

Java

Java RMI 利用入门学习

2

hanze 发布于 2018-11-30

Windows中遇到了Java RMI,反弹又不那么方便,这时该如何利用呢? It’s a question。 正好加强Java学习了。 0x00 预备知识理解 Java RMI——Java远程调用提供了不同机器之间进行对象方法访问的能力,这样的构架允许一台机器的对象访问另一台机...

阅读(32)评论(0)赞 (0)

编程技术

从微服务到人工智能:2019年DevOps的八大趋势

7

xiaoli.wang 发布于 2018-11-30

过去几年中,从鬼话到神话再到人话,DevOps已经从时髦概念落地最佳实践,进而改变着整个软件世界。而在即将到来的2019年,DevOps将迎来一波猛烈的发展,成为推动软件世界前进的核心动力。从过去五年DevOps的Google Trend热度走势(下图)来看,这个预测并非空穴来风...

阅读(26)评论(0)赞 (0)

Java

一次受限环境中的Java反序列化漏洞挖掘到Get Shell

12

小丁 发布于 2018-11-29

在本文中,我们将向你展示一个利用不安全的反序列化漏洞的过程,我们将以WebGoat 8反序列化挑战(部署在Docker上)为例。只需执行sleep5秒即可解决挑战。但是,我们将会进一步寻求乐趣并尝试get shell。 介绍 Java的反序列化问题在安全领域已经被安全人...

阅读(45)评论(0)赞 (0)

Java

Java进阶——详谈Exception

darida 发布于 2018-11-27

最近笔者在撰写JavaWeb与自动化相结合的教程,上篇入口在这里,第二篇还在创作中,在发布之前,让我们先来讨论一个Java的重要技能,Exception。 实现程序的运行是所有初级的程序员所追求的, Thinking in Java 因此成为了很适合入门的一本书,然而随着代码行数...

阅读(32)评论(0)赞 (0)

Java

初试Vulhub

2

darida 发布于 2018-11-27

Vulhub 是github上的一个开源项目。 Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。 使用 安装好docker后 # 启动docker服务 service docker start # 安装comp...

阅读(44)评论(0)赞 (0)

Java

Web 扫描工具

2

zhuangli 发布于 2018-11-26

jboss,tomcat,weblogic,未授权访问扫描工具。 #前言 之前一直在挖src,然后复现了一下最近的几个中间件漏洞,感觉其实厂商很多对中间件使用还是比较多了。如果在漏洞刚刚暴露出来就可以写好批量利用的脚本的化,确实是可以割一波稻草,于是就想写一个批量的脚本,以后出了...

阅读(30)评论(0)赞 (0)

Java

Struts2 安全机制研究

50

hellas 发布于 2018-11-26

本文将从struts2漏洞出发,研究struts2安全机制从无到有的过程,研究漏洞发生的原因以及修复的方式。 为了不让本文过于冗长,本文将适度对一些细节有所删减,具体详情请自行查找相关文档。 S2-001(Struts 2.0.0 – Struts 2.0.8) 这个...

阅读(40)评论(0)赞 (0)

Java

作为武器的CVE-2018-11776:绕过Apache Struts 2.5.16 OGNL 沙箱

15

puefu.he 发布于 2018-11-22

翻译自: https://lgtm.com/blog/apache_struts_CVE-2018-11776-exploit 翻译:聂心明 这篇文章我将介绍如何去构建CVE-2018-11776的利用链。首先我将介绍各种缓解措施,这些措施是Struts 安全团队为了限制OGNL...

阅读(35)评论(0)赞 (0)

Java

CVE-2018-16621 Nexus Repository Manager3 EL注入

2

hellas 发布于 2018-11-20

Auth:Cryin’ 介绍 根据sonatype官方给出的 公告信息 ,Nexus Repository Manager 3存在一个任意EL表达式注入漏洞,攻击通过构造特殊请求可可实现远程任意代码执行。 关于sonatype Nexus Sonatype Nexus...

阅读(39)评论(0)赞 (0)

创业知识

李志刚:内容创业的想象空间有多大?

1

xiaoli.he 发布于 2018-11-20

2013年冬天的一个晚上,我第一次见到张一鸣,和他交流了三个小时,探讨今日头条的空间有多大。今天的主题《内容创业的想象空间有多大?》,正好呼应了五年前我对今日头条的报道——《今日头条的想象空间有多大?》。 回顾内容行业的发展,90年代到2000年初是纸媒黄...

阅读(34)评论(0)赞 (0)

Java

LCTF 2018 T4lk 1s ch34p,sh0w m3 the sh31l 详细分析

19

Harries 发布于 2018-11-19

LCTF2018 我出的这道题主要考察了两个知识点,一个就是当前最最最最,最火的 Phar 反序列化,另一个就是前一段时间比较众人皆知的 java 的 XXE 漏洞,毕竟微信的洞谁能不知道呢?虽然是大家比较熟悉的洞,但是我依然进行了比较深入的挖掘,考察的是比较容易被忽视的点,当然...

阅读(36)评论(0)赞 (0)