标签：漏洞

Harries Blog™ - zhuangli 发布于 2020-07-26

来源：http://39sd.cn/02464 前言 这套Base Admin是一套简单通用的后台管理系统，主要功能有：权限管理、菜单管理、用户管理，系统设置、实时日志，实时监控，API加密，以及登录用户修改密码、配置个性菜单等 技术栈 前端：layui java后端：Sprin...

阅读(2447)评论(0)赞 (2)标签：API / App / cat / CSS / git / GitHub / HTML / http / https / id / IDE / IO / ip / java / JPA / js / json / JVM / linux / MQ / mysql / SDN / Security / spring / Spring Security / springboot / sql / src / tar / UI / web / windows / Word / 云 / 代码 / 修改密码 / 删除 / 加密 / 博客 / 参数 / 同步 / 定制 / 开发 / 插件 / 数据 / 数据库 / 测试 / 源码 / 漏洞 / 百度 / 目录 / 管理 / 系统设置 / 线程 / 认证 / 设计模式 / 部署 / 配置

Harries Blog™ - Harries 发布于 2020-07-25

1.GC介绍 什么是垃圾回收（GC）？ 垃圾回收，顾名思义，便是将已经分配出去的，但却不再使用的内存回收回来，以便能够再次分配。 在 Java 虚拟机的语境下， 垃圾 指的是死亡的对象所占据的堆空间。 Java 虚拟机中的垃圾回收器采用 可达性分析 来探索所有存活的对象。它从一系...

阅读(167)评论(0)赞 (0)标签：ACE / API / cat / constant / Full GC / HashMap / http / https / id / IDE / IO / ip / java / Java 9 / Java类 / JVM / list / map / NIO / NSA / queue / root / src / tab / tar / UI / volatile / Word / 一致性 / 事故 / 代码 / 免费 / 内存模型 / 参数 / 同步 / 垃圾回收 / 处理器 / 多线程 / 字节码 / 安全 / 实例 / 希望 / 并发 / 开发 / 数据 / 数据库 / 时间 / 服务器 / 本质 / 模型 / 测试 / 漏洞 / 物理内存 / 生命 / 程序员 / 空间 / 管理 / 索引 / 线程 / 统计 / 缓存 / 编译 / 翻译 / 虚拟内存 / 解决方法 / 解析 / 调度器 / 调试 / 配置 / 锁 / 需求 / 高并发

Harries Blog™ - wenming.gapo 发布于 2020-07-24

0x01 漏洞简述 随着RMI的进步一发展，RMI上的反序列化攻击手段正逐渐增多，该类漏洞最近正受到愈加广泛的关注。 RMI (Java Remote Method Invocation) 是Java远程方法调用，是一种允许一个 JVM 上的&nbs...

阅读(122)评论(0)赞 (0)标签：ACE / cat / CTO / DOM / http / https / id / IO / ip / java / JVM / list / MQ / newProxyInstance / Proxy / rand / remote / rmi / src / ssl / stream / struct / tar / TCP / Transport / UI / update / value / 下载 / 代码 / 参数 / 安全 / 数据 / 时间 / 服务端 / 注册中心 / 漏洞 / 黑客 / 黑客攻击

Harries Blog™ - 尖兵 发布于 2020-07-24

7月23日，数字安全领域第三方调研机构数世咨询发布《网络靶场能力指南》报告(以下简称“报告”)。报告显示，永信至诚春秋云境网络靶场在应用创新力和市场执行力维度均位列第一。这是继永信至诚在网络安全人才培养与网络安全赛事领域后，又一细分领域的行业第一。 报告指出，近几年网络安全人才和...

阅读(139)评论(0)赞 (0)标签：2019 / HTML / http / https / src / UI / 云 / 产品 / 人才 / 代码 / 企业 / 安全 / 并发 / 总结 / 测试 / 漏洞 / 系统架构 / 质量 / 运营 / 配置 / 需求

Harries Blog™ - likai 发布于 2020-07-24

本文转载自微信公众号「Bypass」，作者Bypass 。转载本文请联系Bypass公众号。 本文详细地介绍了常见未授权访问漏洞及其利用，具体漏洞列表如下： Jboss 未授权访问 Jenkins 未授权访问 ldap未授权访问 Redis未授权访问 elasticsearch未...

阅读(141)评论(0)赞 (0)标签：Action / API / App / cache / cat / client / Collection / Connection / CTO / db / Docker / Elasticsearch / git / GitHub / HTML / http / https / id / IO / ip / java / Java环境 / jenkins / js / json / key / ldap / list / Master / mongo / MongoDB / MQ / Nginx / node / PHP / plugin / python / redis / remote / root / rsync / Security / Service / servlet / shell / src / ssh / stream / tab / tar / TCP / UI / unix / value / web / Word / zookeeper / 下载 / 主机 / 代码 / 分布式 / 同步 / 安全 / 安装 / 微信公众号 / 总结 / 插件 / 数据 / 数据库 / 服务器 / 服务端 / 测试 / 漏洞 / 目录 / 端口 / 管理 / 缓存 / 编译 / 自动化 / 认证 / 进程 / 远程访问 / 配置 / 黑客

Harries Blog™ - 刘莉莉 发布于 2020-07-22

0x00 前言 上周五，xray社区公众号发布xray高级版更新公告， 新增 shiro 插件，shiro 漏洞一键检测 。文章链接（ 点我 ） 上图来源于微信公众号文章，可以看到，通过shiro-550这个神洞，可以将命令执行结果回显在响应包中。没错，它竟然回显了。 文章还介绍...

阅读(209)评论(0)赞 (0)标签：apache / cat / cmd / Collection / Collections / CTO / db / DNS / DOM / HashMap / http / https / id / IO / ip / java / key / lambda / linux / map / ORM / PHP / plugin / Proxy / python / rand / Service / src / tar / tomcat / UI / value / web / windows / 代码 / 加密 / 安全 / 微信公众号 / 总结 / 插件 / 数据 / 文章 / 测试 / 漏洞 / 端口 / 网站 / 配置

Harries Blog™ - Harries 发布于 2020-07-22

前段时间，银行和GOV的项目给我难到自闭了，一个月就只挖了一个弱口令。对于我这个野生成长四五年的实习生来说，实在是有点打击人。 0x00 前期 拿到测试范围清单后，首先用脚本获取了下各个子站的标题，基本都是XXX管理系统。浏览器查看后，各个子站也大同小异，纯登录系统，带验证码。这...

阅读(194)评论(0)赞 (0)标签：apache / API / App / cat / CDN / cmd / git / HTML / http / https / IO / ip / java / js / json / list / mysql / OpenResty / PHP / REST / shell / sql / src / UI / web / Word / wordpress / 下载 / 代码 / 代码审计 / 参数 / 图片 / 域名 / 备份 / 安装 / 密钥 / 广告 / 开发 / 开源 / 插件 / 插件开发 / 文章 / 时间 / 服务器 / 服务端 / 标题 / 模型 / 测试 / 漏洞 / 百度 / 目录 / 管理 / 索引 / 网站 / 解析 / 谷歌 / 配置 / 银行 / 门户网站

Harries Blog™ - 邓龙华 发布于 2020-07-21

前言 这一章我们来说说JMX的安全问题把，内容相对来说比较简单，当然，我们还是回给出几个相关的案例 JMX简介 JMX（Java Management Extensions，即Java管理扩展）是一个为应用程序、设备、系统等植入管理功能的框架。狭隘的理解，我们 可以通过JMX管理...

阅读(117)评论(0)赞 (0)标签：2019 / ACE / apache / ask / bean / cat / CEO / cmd / Connection / CTO / DOM / git / GitHub / HashSet / HTML / http / https / id / IDE / IO / java / Master / MQ / ORM / python / remote / rmi / SDN / Service / solr / src / stream / tar / UI / web / XML / 主机 / 代码 / 参数 / 图片 / 安全 / 实例 / 文章 / 服务器 / 服务端 / 注释 / 漏洞 / 百度 / 目录 / 端口 / 管理 / 配置

Harries Blog™ - yanxinchi 发布于 2020-07-21

Swagger作为一款API文档生成工具，虽然功能已经很完善了，但是还是有些不足的地方。偶然发现knife4j弥补了这些不足，赋予了Swagger更多的功能，今天我们来讲下它的使用方法。 knife4j简介 knife4j是springfox-swagger的增强UI实现，为Ja...

阅读(190)评论(0)赞 (0)标签：2019 / Android / API / App / bug / CTO / description / final / git / GitHub / HTML / http / https / id / IDE / IO / IOS / ip / java / js / json / map / Markdown / Master / pom / rand / Service / spring / Spring cloud / springboot / src / tag / tar / token / UI / value / XML / 下载 / 亚马逊 / 参数 / 开发 / 开发者 / 开源 / 开源项目 / 微服务 / 微软 / 源码 / 漏洞 / 神器 / 管理 / 认证 / 调试 / 配置

Harries Blog™ - 尖兵 发布于 2020-07-20

关注世界领先 DevOps 平台 JFrog 引言 自从2018年从Cloud Native Computing Foundation（CNCF）出现以来，您可能已经在使用K8操作系统，随着容器云技术大发展以及落地，提高了企业运维的效率和质量，并且降低了企业运营成本，但同时带来的...

阅读(173)评论(0)赞 (0)标签：Agent / API / App / core / CTO / Dashboard / Elasticsearch / git / GitHub / http / https / IaaS / id / IDE / IO / ip / js / json / key / Kibana / Kubernetes / linux / MQ / ORM / PaaS / root / Select / Service / src / tag / tar / TCP / Uber / UI / web / 下载 / 主机 / 二维码 / 云 / 产品 / 企业 / 免费 / 分布式 / 安装 / 实例 / 开发 / 开源 / 总结 / 插件 / 搜索引擎 / 操作系统 / 数据 / 时间 / 服务器 / 漏洞 / 生命 / 端口 / 管理 / 索引 / 解析 / 质量 / 软件 / 运营 / 部署 / 配置 / 集群