Spring Boot集成Ldap快速入门Demo springboot-demo

Spring Boot集成Ldap快速入门Demo

1.Ldap介绍 LDAP,Lightweight Directory Access Protocol,轻量级目录访问协议. LDAP是一种特殊的服务器,可以存储数据 数据的存储是目录形式的,或者可以理解为树状结构(一层套一层) 一般存储关于用户、用户认证信息、组、用户成员,通常用于用户认证与授权 LDAP简称对应 o:organization(组织-公司) o...
阅读全文
聊聊常见未授权访问漏洞总结 编程技术

聊聊常见未授权访问漏洞总结

本文转载自微信公众号「Bypass」,作者Bypass 。转载本文请联系Bypass公众号。 本文详细地介绍了常见未授权访问漏洞及其利用,具体漏洞列表如下: Jboss 未授权访问 Jenkins 未授权访问 ldap未授权访问 Redis未授权访问 elasticsearch未授权访问 MenCache未授权访问 Mongodb未授权访问 ...
阅读全文
深入理解 SecurityConfigurer 编程技术

深入理解 SecurityConfigurer

我们来继续撸 Spring Security 源码。 SecurityConfigurer 在 Spring Security 中是一个非常重要的角色。在前面的文章中,松哥曾经多次提到过,Spring Security 过滤器链中的每一个过滤器,都是通过 xxxConfigurer 来进行配置的,而这些 xxxConfigurer 实际上都是 SecurityConfigurer 的实现。 ...
阅读全文
深入理解 SecurityConfigurer 【源码篇】 编程技术

深入理解 SecurityConfigurer 【源码篇】

松哥原创的 Spring Boot 视频教程已经杀青,感兴趣的小伙伴戳这里--> Spring Boot+Vue+微人事视频教程 我们来继续撸 Spring Security 源码。 SecurityConfigurer 在 Spring Security 中是一个非常重要的角色。在前面的文章中,松哥曾经多次提到过,Spring Security 过滤器链中的每一个过滤器,都是...
阅读全文
【漏洞复现】Jenkins 漏洞利用 Java

【漏洞复现】Jenkins 漏洞利用

1、简介 Jenkins 是基于 Java 开发的开源软件项目,主要用于 CI (持续集成)、项目管理等。 Jenkins功能包括: 持续的软件版本发布/测试项目。 监控外部调用执行的工作。 2、服务探测与发现 fofa:  app="Jenkins" 3、CVE-201...
阅读全文
Fastjson漏洞复现 Java

Fastjson漏洞复现

前言 前不久传的沸沸扬扬的FastJson反序列化漏洞,相信有不少企业都中招了,当然我司也未能幸免,基于次漏洞更具官方给的补漏措施,已完全可以避免在这不再阐述。本文就拿它从一个简单的FastJson 漏洞开始,搭建漏洞环境,分析漏洞成因,使用条件等。从入门者的角度看懂并复现漏洞触发,拥有属于自己的一套漏洞调试环境。 以下便是部分官方公告: 0x01 Fas...
阅读全文
Apache Dubbo Provider默认反序列化远程代 编程技术

Apache Dubbo Provider默认反序列化远程代

背景 近日,Apache Dubbo披露了Provider默认反序列化远程代码执行漏洞(CVE-2020-1948),攻击者可构造恶意请求,从而执行任意代码。具体信息如上图所示。 在官方邮件中,漏洞报告者还提供了官方的PoC脚本,感兴趣的读者可以自行抓包和学习。本文旨在复现漏洞,找出漏洞利用条件,提出漏洞修复方案。 dubbo 基础知识 ...
阅读全文
Spring Boot 相关漏洞学习资料 编程技术

Spring Boot 相关漏洞学习资料

Spring Boot 相关漏洞学习资料,利用方法和技巧合集,黑盒安全评估 check list 零:路由和版本 0x01:路由知识 Spring Boot 1.x 版本默认内置路由的根路径以 / 开始,2.x 则统一以 /actuator 开始 有些程序员会自定义 /manage 、 /management 或 项目相关名称 为根路径 默...
阅读全文
Fastjson <1.2.48 入门调试 编程技术

Fastjson <1.2.48 入门调试

fastjson反序列化已经是近几年继Struts2漏洞后,最受安全人员欢迎而开发人员抱怨的一个漏洞了。 目前分析Fastjson漏洞的文章很多,每次分析文章出来后,都是过一眼就扔一边了。正好最近在学习反序列化的内容,对<1.2.48版本的漏洞再做一次分析,借鉴和学习了很多大佬的文章, 这次尽量自己来做 环境搭建 使用Idea搭建一个空的maven项目,并且添加1.2.47版本的...
阅读全文
Loading...