标签:ldap

Java

聊聊常见未授权访问漏洞总结

6

likai 发布于 2020-07-24

本文转载自微信公众号「Bypass」,作者Bypass 。转载本文请联系Bypass公众号。 本文详细地介绍了常见未授权访问漏洞及其利用,具体漏洞列表如下: Jboss 未授权访问 Jenkins 未授权访问 ldap未授权访问 Redis未授权访问 elasticsearch未...

阅读(22)评论(0)赞 (0)

Java

深入理解 SecurityConfigurer

xiaoli.he 发布于 2020-07-21

我们来继续撸 Spring Security 源码。 SecurityConfigurer 在 Spring Security 中是一个非常重要的角色。在前面的文章中,松哥曾经多次提到过,Spring Security 过滤器链中的每一个过滤器,都是通过 xxxConfigure...

阅读(31)评论(0)赞 (0)

Java

深入理解 SecurityConfigurer 【源码篇】

4

xubiao.zhuang 发布于 2020-07-21

松哥原创的 Spring Boot 视频教程已经杀青,感兴趣的小伙伴戳这里–> Spring Boot+Vue+微人事视频教程 我们来继续撸 Spring Security 源码。 SecurityConfigurer 在 Spring Security 中是一...

阅读(49)评论(0)赞 (0)

Java

【漏洞复现】Jenkins 漏洞利用

34

小丁 发布于 2020-07-16

1、简介 Jenkins 是基于 Java 开发的开源软件项目,主要用于 CI (持续集成)、项目管理等。 Jenkins功能包括: 持续的软件版本发布/测试项目。 监控外部调用执行的工作。 2、服务探测与发现 fofa:  app="Jenkins"...

阅读(61)评论(0)赞 (0)

Java

Fastjson漏洞复现

22

yanxinchi 发布于 2020-07-13

前言 前不久传的沸沸扬扬的FastJson反序列化漏洞,相信有不少企业都中招了,当然我司也未能幸免,基于次漏洞更具官方给的补漏措施,已完全可以避免在这不再阐述。本文就拿它从一个简单的FastJson 漏洞开始,搭建漏洞环境,分析漏洞成因,使用条件等。从入门者的角度看懂并复现漏洞触...

阅读(39)评论(0)赞 (0)

Java

Apache Dubbo Provider默认反序列化远程代

17

xiaoli.he 发布于 2020-07-13

背景 近日,Apache Dubbo披露了Provider默认反序列化远程代码执行漏洞(CVE-2020-1948),攻击者可构造恶意请求,从而执行任意代码。具体信息如上图所示。 在官方邮件中,漏洞报告者还提供了官方的PoC脚本,感兴趣的读者可以自行抓包和学习。本文旨在复现漏洞,...

阅读(34)评论(0)赞 (0)

Spring

SpringBoot 源码解析——源码模块功能分析

6

yanxinchi 发布于 2020-07-12

点击上方 " Java指南者 "关注,  星标或置顶一起成长 免费送 1024GB 精品学习资源   源码结构 代码在 IDEA 中打开后的整体目录结构如下图所示: 可以看见整体的结构目录是比较清晰的,主要源码模块分为 spring-boo...

阅读(51)评论(0)赞 (0)

Java

Spring Boot 相关漏洞学习资料

wenming.gapo 发布于 2020-07-09

Spring Boot 相关漏洞学习资料,利用方法和技巧合集,黑盒安全评估 check list 零:路由和版本 0x01:路由知识 Spring Boot 1.x 版本默认内置路由的根路径以 / 开始,2.x 则统一以 /actuator 开始 有些程序员会自定义 /manag...

阅读(63)评论(0)赞 (0)

Java

Fastjson <1.2.48 入门调试

5

darida 发布于 2020-07-09

fastjson反序列化已经是近几年继Struts2漏洞后,最受安全人员欢迎而开发人员抱怨的一个漏洞了。 目前分析Fastjson漏洞的文章很多,每次分析文章出来后,都是过一眼就扔一边了。正好最近在学习反序列化的内容,对<1.2.48版本的漏洞再做一次分析,借鉴和学习了很多...

阅读(23)评论(0)赞 (0)

Java

Spring Boot手把手教学(14):如何对Spring Boot配置文件加密

4

hellas 发布于 2020-07-08

1、前言 2、`jasypt`加密 3、安全性 3.1 本地运行 3.2 服务器部署 如果 Spring boot 的配置文件大多是明文 ,这样是不安全的; 如果Mysql数据库的账号密码都是明文,安全性就降低了,就像是在裸奔一样,所以有必要对相关比较隐秘的数据进行加密,这样的话...

阅读(45)评论(0)赞 (0)

Java

Spring Security 和Apache Shiro你需要具备哪些条件

4

小丁 发布于 2020-07-06

前言 web应用达到生产需要就必须有安全控制。java web领域经常提及的两大开源框架主要有两种选择 Spring Security和Apache Shiro 。所以学习这两种框架也是java开发者提高水平的必经之路。从今天开始连续一段时间内,研究一下Spring Securi...

阅读(44)评论(0)赞 (0)

Java

Apache dubbo (CVE-2020-1948) 反序列化远程代码执行漏洞及其补丁绕过深度分析

34

dulong 发布于 2020-07-06

Apache dubbo (CVE-2020-1948) 反序列化远程代码执行漏洞及其补丁绕过深度分析 Apache Dubbo简介 Dubbo是一个分布式服务框架,致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。简单的说,dubbo就是个服务框架,如果...

阅读(43)评论(0)赞 (0)

Java

SpringBoot集成Spring Security

1

邓龙华 发布于 2020-07-05

1、Spring Security介绍 Spring security ,是一个强大的和高度可定制的身份验证和访问控制框架。它是确保基于Spring的应用程序的标准 ——来自官方参考手册 Spring security和 shiro 一样,具有认证、授权、加密等用于权限管理的功能...

阅读(38)评论(0)赞 (0)

Java

mybatis异常集之Cannot determine value type from string ‘xxx‘

3

刘莉莉 发布于 2020-07-03

前言 本文的创作来源于朋友在自学mybatis遇到的问题,问题如文章标题所示Cannot determine value type from string ‘xxx’。他在网上搜索出来的答案基本上都是加上一个无参构造器,就可以解决问题。他的疑问点在于他实体...

阅读(58)评论(0)赞 (0)

Spring

写了这么多年代码,这样的登录方式还是头一回见!

3

xiaoli.wang 发布于 2020-07-03

松哥原创的 Spring Boot 视频教程已经杀青,感兴趣的小伙伴戳这里–> Spring Boot+Vue+微人事视频教程 Spring Security 系列还没搞完,最近还在研究。 有的时候我不禁想,如果从 Spring Security 诞生的第一天开...

阅读(35)评论(0)赞 (0)

Java

Dubbo 漏洞 CVE-2020-1948 分析

14

小丁 发布于 2020-07-03

作者:平安科技银河实验室 公众号: https://mp.weixin.qq.com/s/wU1iacELbhspWMftRIQdeA 0x01 简述 Dubbo是阿里巴巴一种开源的RPC服务框架,常被用来做分布式服务远程对象的调用,日前Dubbo被发现有CVE-2020-194...

阅读(54)评论(0)赞 (0)

Java

axis 1.4 AdminService未授权访问 jndi注入命令执行利用

6

hellas 发布于 2020-07-03

最近利用一个漏洞Axis 1.4 adminservice开启远程访问下可新建服务执行任意方法, 写文件出现问题可试试本文利用默认包中的jndi lookup注入恶意class执行反弹shell 0x01 漏洞形成前提 Axis 1.4 AdminService enableRe...

阅读(46)评论(0)赞 (0)

Java

写了这么多年代码,这样的登录方式还是头一回见!

2

Harries 发布于 2020-07-03

Spring Security 系列还没搞完,最近还在研究。 有的时候我不禁想,如果从 Spring Security 诞生的第一天开始,我们就一直在追踪它,那么今天再去看它的源码一定很简单,因为我们了解到每一行代码的缘由。 然而事实上我们大部分人都是中途接触到它的,包括松哥自己...

阅读(31)评论(0)赞 (0)