WebSphere Application Server 是一款由IBM 公司开发的高性能的Java 中间件服务器,可用于构建、运行、集成、保护和管理部署的动态云和Web 应用。它...
Apache Shiro 权限绕过漏洞分析(CVE-2020-13933)
Apahce Shiro 由于处理身份验证请求时出错 存在 权限绕过漏洞,远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。
Spring Framework反射型文件下载漏洞(CVE-2020-5421)
Spring Framework是 Java 平台的一个开源全栈应用程序框架和控制反转容器实现,一般被直接称为 Spring。
Apache Spark存在远程代码执行漏洞(CVE-2020-9480)
2020年6月23日,国家信息安全漏洞共享平台(CNVD)收录了由杭州安恒信息技术股份有限公司报送的Apache Spark远程代码执行漏洞(CNVD-2020-34445,对应C...
Apache Dubbo Provider默认反序列化远程代码执行漏洞公告(CVE-2020-1948)
Apache Dubbo 是一个分布式服务框架,致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。简单的说,dubbo就是个服务框架,如果没有分布式的需求,...
Fastjson BasicDataSource攻击链简介
沈沉舟@青衣十三楼飞花堂 「声明: 文中涉及到的相关漏洞均为官方已经公开并修复的漏洞,涉及到的安全技术也仅用于企业安全建设和安全对抗研究。本文仅限业内技术研究与讨论,严禁用于非法用...
JAVA RMI反序列化知识详解
Author: Alpha@天融信阿尔法实验室在Java反序列化漏洞挖掘或利用的时候经常会遇见RMI,本文会讲述什么是RMI、RMI攻击方法、JEP290限制、绕过JEP290限制...
Apache CommonCollection Gadget几种特殊的玩法
Author:UnicodeSec@宽字节安全众所周知,CommonCollection Gadget主要是由ConstantTransformer,InvokerTransfor...
Shiro RCE/反序列/命令执行一键利用工具
工具仅供安全自测,未经授权不得非法测试!使用工具请遵守《中华人民共和国网络安全法》。
免杀!利用开源的Octopus进行后渗透
Octopus后渗透 这几天看到一个开源的c2,据说可以免杀。特地来试试。测试机装了火绒杀毒和360安全卫士。
『漏洞复现』Chrome 0day 远程命令执行漏洞
日期:2021-04-13作者:Bay0net介绍:护网期间,爆出来了 Chrome的最新漏洞,各大漏洞预警平台都在报,简单复现了一下,利用起来条件还是比较苛刻的。
渗透学习笔记开源
safe6 学习是每天都在进行,可是时间久了就会忘记,每次都需要去百度,很多时候又查不到自己想要的东西,于是就记录下来.一是方便查询,二是能帮到需要的朋友.
8