标签:漏洞

Java

国家漏洞库CNNVD:关于Oracle WebLogic 多个安全漏洞的通报

zhuangli 发布于 2020-01-16

近日,国家信息安全漏洞库(CNNVD)收到关于Oracle Weblogic T3协议安全漏洞(CNNVD-202001-667、CVE-2020-2546)和Oracle Weblogic WLS组件IIOP协议安全漏洞(CNNVD-202001-675、CVE-2020-25...

阅读(14)评论(0)赞 (0)

Java

CVE-2020-2546 Weblogic T3协议风险通告

1

hanze 发布于 2020-01-15

0x00 漏洞背景 2020年1月15日,360CERT监测到oracle官方发布了CVE-2020-2546漏洞通告,漏洞等级为高危。 Weblogic是Oracle出品的用于构建和部署企业Java EE应用程序的中间件,被企业用户广泛应用于生产环境中。 T3是用于在WebLo...

阅读(22)评论(0)赞 (0)

Java

静态代码扫描原理

darida 发布于 2020-01-15

静态代码扫描存在的价值 研发过程,发现BUG越晚,修复的成本越大 缺陷引入的大部分是在编码阶段,但发现的更多是在单元测试、集成测试、功能测试阶段 统计证明,在整个软件开发生命周期中,30% 至 70% 的代码逻辑设计和编码缺陷是可以通过静态代码分析来发现和修复的 以上三点证明了,...

阅读(13)评论(0)赞 (0)

编程技术

后台服务扩展 —— 原则篇

yanxinchi 发布于 2020-01-15

原创文章,转载请标明出处: Soul Orbit 本文链接地址: 后台服务扩展 —— 原则篇 服务扩展是几乎每个做后台服务的开发都遇到过的问题,当业务大到一定的水平,当前的服务快要承受不住业务压力的时候,我们就要进行扩展了。最近我们项目也在做类似服务扩展的事情,所以想把我之前学的...

阅读(14)评论(0)赞 (0)

Java

静态代码扫描原理

刘莉莉 发布于 2020-01-15

静态代码扫描存在的价值 研发过程,发现BUG越晚,修复的成本越大 缺陷引入的大部分是在编码阶段,但发现的更多是在单元测试、集成测试、功能测试阶段 统计证明,在整个软件开发生命周期中,30% 至 70% 的代码逻辑设计和编码缺陷是可以通过静态代码分析来发现和修复的 以上三点证明了,...

阅读(15)评论(0)赞 (0)

Java

源码分析 | 基于jdbc实现一个Demo版的Mybatis

1

xiaoli.he 发布于 2020-01-14

微信公众号:bugstack虫洞栈 | 博客: bugstack.cn 沉淀、分享、成长,专注于原创专题案例,以最易学习编程的方式分享知识,让自己和他人都能有所收获。目前已完成的专题有;Netty4.x实战专题案例、用Java实现JVM、基于JavaAgent的全链路监控、手写R...

阅读(11)评论(0)赞 (0)

编程技术

微服务测试之单元测试

13

xubiao.zhuang 发布于 2020-01-14

编辑推荐: 本篇分别从微服务架构下开展单元测试的意义、对单元测试的常见误解以及如何开展单元测试三个方面进行介绍希望对您的学习有所帮助。 本文来自于知乎 ,由火龙果软件Alice编辑、推荐。 在微服务架构下高覆盖率的单元测试是保障代码质量的第一道也是最重要的关口,应该持之以恒。 背...

阅读(13)评论(0)赞 (0)

Java

Hessian反序列化RCE漏洞复现及分析

16

likai 发布于 2020-01-14

Hessian是一个轻量级的RPC框架。它基于HTTP协议传输,使用Hessian二进制序列化,对于数据包比较大的情况比较友好。 Hessian反序列化类似Java反序列化,可导致RCE,POC好像2017年就公开了,但是最新版本hessian-4.0.60.jar,经过测试也存...

阅读(19)评论(0)赞 (0)

Java

一次授权渗透实战

22

zhuangli 发布于 2020-01-13

前言 很久没有整理实战文章了,恰好这周项目上有一个目标折腾了两天时间,记录分享下其中的心路历程(本次渗透过程均在目标授权下进行,请勿进行非法渗透行为)。 目标基本信息 某政务网站 服务器–windows 数据库–未知 中间件–Tomcat 开发语言–java 未使用CDN 存在w...

阅读(40)评论(0)赞 (0)

Java

突破Java面试(22) – Redis过期策略及手写LRU

1

尖兵 发布于 2020-01-12

0 欢迎关注 Github 欢迎关注全是干货的技术公众号 1 面试题 Redis的过期策略都有哪些?内存淘汰机制都有哪些?手写一下LRU代码实现? 2 考点分析 1)往redis里写的数据怎么没了? 生产环境的redis怎么经常会丢掉一些数据?写进去了,过一会儿可能就没了。 问这...

阅读(10)评论(0)赞 (0)

Java

Java 14 都快来了,为什么还有这么多人固守Java 8?

4

刘莉莉 发布于 2020-01-10

从Java 9开始,Java版本的发布就让人眼花缭乱了。 每隔6个月,都会冒出一个新版本出来,Java 10 , Java 11, Java 12, Java 13, 到2020年3月份,Java 14就要来了。 说实话,这种频繁的发布有点儿让人审美疲劳,每次我看到介绍Java新...

阅读(15)评论(0)赞 (0)

Java

学习Java必须避开的十大致命雷区,千万不要踩!

changyuan.xu 发布于 2020-01-10

学习Java必须避开的十大致命雷区,千万不要踩! 1、研究太多,实践太少 在编程方面缺乏实践是十分致命的。从第一天开始学习,就要每天练习编程。就如同学习拳击或跳舞,如果只通过视频学习,永远也学不会这些。除非你把练习编程变成一种日常习惯,否则永远不会对编程有信心。 2、没有目标和计...

阅读(13)评论(0)赞 (0)

Java

基于AFL的Java程序Fuzz工具:Kelinci

2

小丁 发布于 2020-01-10

前言 Fuzzing一直以来是漏洞挖掘非常有效的方式,我最喜欢的工具仍然是经久不衰的AFL,你可以基于AFL来打造各种fuzz工具,当然这得益于AFL中最具有魔性的遗传算法corpus变异,还记得吗,仅凭“hello”几个字符就能产生无数个有效的input输入,鹅妹子嘤!但现在有...

阅读(13)评论(0)赞 (0)

Spring

CSRF 详解:攻击,防御,Spring Security应用等

1

Harries 发布于 2020-01-08

本文原创,更多内容可以参考: Java 全栈知识体系 。如需转载请说明原处。 CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的...

阅读(49)评论(0)赞 (0)

编程技术

使用Ghidra P-Code进行辅助逆向分析

13

hellas 发布于 2020-01-08

Ghidra是美国NSA开源的一款跨平台软件逆向工具,  目前支持的平台有Windows, macOS及Linux并提供了反汇编、汇编、反编译等多种功能。由于Ghidra是开源项目,目前目前已经有大量的安全研究人员为其编写插件来不断扩展功能,此外Ghidra还支持多种C...

阅读(20)评论(0)赞 (0)

编程技术

技术沙龙 | 云时代下的架构演进—企业云及云原生技术落地实践

27

yeseng 发布于 2020-01-08

云改变了IT行业的形态和市场格局,催生了应用的发展。随着云计算技术的不断演进,作为一名优秀的架构师,必须深入了解云计算平台的特点及架构设计,包括构建数据库、大规模落地微服务、Service Mesh和全链路监控等才能紧跟时代的步伐。 12月21日,京东云开发者社区和英特尔联合举办...

阅读(26)评论(0)赞 (0)

编程技术

挖洞经验 | 在账户注册和意见反馈处发现越权漏洞(IDOR)

1

changyuan.xu 发布于 2020-01-08

今天分享几点关于越权漏洞(IDOR)的发现经验,这类型漏洞通常发生在Web应用提供给用户基于输入的对象中,漏洞造成的影响将会致使攻击者可以绕过授权限制,访问到目标系统内其它不应该被访问到的资源或数据。 IDOR概述 简单来说,假设目标网站有两个用户U1和U2,两者账户中都存储有个...

阅读(21)评论(0)赞 (0)

编程技术

微服务渗透之信息搜集

13

puefu.he 发布于 2020-01-08

大家好我是掌控安全学院的魔术手。 随着web安全从业人员的增多,很多人都有个疑问:怎么洞越来越难挖了!!?大网站是不是没有这些漏洞!!? 原因是多样性的,一方面是漏洞隐藏的越来越深,另一方面是网站的架构正在发生改变;所以我们除了要提升自己的技术能力之外,我们也要顺应互联网的发展,...

阅读(17)评论(0)赞 (0)