标签:漏洞

Spring

Apache Fineract 1.3.0 修复了一个上游依赖安全漏洞

1

小丁 发布于 2019-10-21

Apache Fineract 项目在 1.3.0 版本中修复了一个 Spring Security OAuth 安全漏洞 CVE-2016-4977,该漏洞允许恶意用户远程执行代码。 NATIONAL VULNERABILITY DATABASE (NVD)介绍了该漏...

阅读(7)评论(0)赞 (0)

Spring

JeecgBoot 2.1.1 代码生成器 AI 版本发布,基于 SpringBoot 的快速开发平台

12

dulong 发布于 2019-10-21

此版本重点升级了 Online 代码生成器,支持更多的控件生成,所见即所得,极大的提高开发效率;同时做了数据库兼容专项工作,让 Online 开发兼容更多数据库:Mysql、SqlServer、Oracle、Postgresql等 !!! 项目介绍 JeecgBoot 是一款基于...

阅读(9)评论(0)赞 (0)

Spring

SpringMVC框架任意代码执行漏洞(CVE-2010-1622)分析

17

yanxinchi 发布于 2019-10-20

CVE-2010-1622很老的的一个洞了,最近在分析Spring之前的漏洞时看到的。利用思路很有意思,因为这个功能其实之前开发的时候也经常用,当然也有很多局限性。有点类似js原型链攻击的感觉,这里分享出来。 介绍 CVE-2010-1622因为Spring框架中使用了不安全的表...

阅读(14)评论(0)赞 (0)

Java

Vulhub漏洞系列:ActiveMQ任意文件写入漏洞分析

12

darida 发布于 2019-10-19

一、ActiveMQ简介: Apache ActiveMQ是Apache软件基金会所研发的开放源代码消息中间件;由于ActiveMQ是一个纯Java程序,因此只需要操作系统支持Java虚拟机,ActiveMQ便可执行。 二、漏洞描述: 本漏洞出现在fileserver应用中,漏洞...

阅读(16)评论(0)赞 (0)

Java

Spring Boot教程(22) – 容器中对象的生命周期

4

likai 发布于 2019-10-18

你可能在学习其他框架的时候,听到过“生命周期”的概念,通常,框架会提供给你回调方法,在生命周期的关键点,框架会调用这些回调方法。比如你给你的小程序或者安卓应用编写页面的时候,会有类似onHide()、onShow()这种方法,分别在显示(show)页面或者离开(hide)页面的时...

阅读(16)评论(0)赞 (0)

Java

JShell(JDK9+)eval任意Java代码片段执行

3

likai 发布于 2019-10-17

点击上方“ 凌天实验室 ”,“星标或置顶公众号” 漏洞、技术还是其他,我都想第一时间和你分享 写在之前: 最近几年开发RASP产品期间整理了很多的Java语言的特性~ JDK9开始提供一个叫jshell的功能,让开发者可以想python和php一样在命令行下愉快的写测试代码了。J...

阅读(14)评论(0)赞 (0)

Java

Shiro 反序列化记录

35

puefu.he 发布于 2019-10-17

shiro反序列化这个从 issue 550 开始进入大家的视野,到现在也挺久的了,但是这个漏洞还是挺好用的,特别是一些红蓝对抗、护网的场景下用来撕开口子非常好用,当然我也只是学习一下。 0x02 漏洞分析 1.环境搭建 git clone https://github.com/...

阅读(16)评论(0)赞 (0)

Java

CVE-2019-2890:WebLogic 反序列化漏洞预警

1

邓龙华 发布于 2019-10-16

0x00 漏洞背景 2019年10月16日,360CERT监测到2019年10月16日WebLogic官方发布了CVE-2019-2890漏洞预警,漏洞等级严重。 WebLogic 是 Oracle 公司出品的基于 JavaEE 架构的中间件,用于开发、集成、部署和管理大型分布式...

阅读(25)评论(0)赞 (0)

Java

Java反射原理分析 – Method篇

hanze 发布于 2019-10-16

Class 对象提供以下获取对象的方法( Method ): getMethod getDeclaredMethod getMethods getDeclaredMethods 测试用例 //父类 public class RefFather { public void refF...

阅读(15)评论(0)赞 (0)

Java

Apache Commons Fileupload竟存在漏洞,你慌了吗?

9

小丁 发布于 2019-10-16

来源: https://tinyurl.com/y34djpar 漏洞的来源是在于 DiskFileItem 中的 readObject() 进行文件写入的操作,这就意味着如果我们对已经序列化的 DiskFileItem 对象进行反序列化操作就能够触发 readObject() ...

阅读(17)评论(0)赞 (0)

Java

Jenkins脏牛漏洞FRP内网提权

25

邓龙华 发布于 2019-10-16

*严正声明:本文仅限于技术讨论与分享,严禁用于非法途径 0×01 概述 Jenkins是一款由Java编写的开源的持续集成工具。Jenkins提供了软件开发的持续集成服务。它运行在Servlet容器中(例如Apache Tomcat)。可以执行基于Apache Ant...

阅读(27)评论(0)赞 (0)

Spring

spring-boot-plus 1.3.1 发布,XSS-CORS-CodeGenerator 优化

changyuan.xu 发布于 2019-10-15

[V1.3.1-RELEASE] 2019.10.15 :star:️ New Features Xss跨站脚本工具处理 CORS跨域配置 :zap:️ Optimization 代码生成器可自定义配置生成哪些文件 请求路径filter配置,配置文件属性名称调...

阅读(23)评论(0)赞 (0)

Spring

spring-boot-plus XSS跨站脚本攻击处理

xirruiqiang 发布于 2019-10-15

XSS跨站脚本攻击处理 XSS:Cross Site Scripting 跨站脚本攻击(XSS),是目前最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目...

阅读(21)评论(0)赞 (0)

Java

埃森哲被告上法庭:两年花两亿,连个可用的网站都不能交付?

4

hanze 发布于 2019-10-14

编辑 | Lisa 近日,美国汽车租赁公司 Hertz 将管理咨询公司埃森哲告上法庭,因认为其在负责该公司的在线业务转型相关项目中存在严重违约行为,两年花费 3200 万美元(超过两亿人民币)仍然无法交付合格可用的网站或者 APP,并在项目中发生多次欺骗行为,代码编写存在严重问题...

阅读(35)评论(0)赞 (0)

编程技术

青藤云安全带你了解容器技术架构

1

xubiao.zhuang 发布于 2019-10-14

近年来,随着计算机技术的不断升级,容器技术被广泛接受和使用。与此同时,容器以及容器运行环境的安全成为了亟待研究和解决的问题。青藤云安全认为,只有对容器有充分的认识,才能针对存在的问题和现象,进行针对性解决。 本文简述,容器安全的技术架构,加深对容器理解。 下图展示了容器技术架构的...

阅读(20)评论(0)赞 (0)

Java

记一次绕过后缀名限制的文件上传

4

darida 发布于 2019-10-14

最近在做一次渗透测试过程中,发现了一处任意文件上传的绕过后缀名限制姿势,觉得还是比较好用的,在此记录以免遗忘。另外2016年的时候我专门汇总过一篇文件上传漏洞绕过姿势的文章,有兴趣的可以去阅读: 文件上传漏洞(绕过姿势) ,本篇作为新增姿势的一个补充。 绕过手法 如下图所示,某网...

阅读(28)评论(0)赞 (0)

Java

fastjson漏洞导致服务瘫痪,先别忙升级 原 荐

5

likai 发布于 2019-10-13

1、背景 2019年9月5日,fastjson修复了当字符串中包含/x转义字符时可能引发OOM的问题。建议广大用户升级fastjson版本至少到1.2.60。 一个bug这么恐怖,竟然直接OOM,亲身体验下吧。测试代码如下: JSON.parse("[{/"a...

阅读(20)评论(0)赞 (0)

Java

Java虚拟机-GC机制

18

zhuangli 发布于 2019-10-11

垃圾回收(Garbage Collection,GC),在Java程序运行时,虚拟机会自动管理内存的分配和回收,保证内存处于可用状态。但有时也会出现内存泄漏(程序出错)和内存溢出(OOM)导致异常的出现,这需要我们了解虚拟机对内存的管理机制,快速的定位问题。 目录 概念 垃圾回收...

阅读(22)评论(0)赞 (0)