SQL注入 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没...
javasec_cn
javasec_cn
javasec_cn
Brup Suite插件分享-Burp_AES_Plugin【AES爆破插件】
Brup Suite的爆破功能经常使用,但是很多网站,可能使用了AES,通过前端我们可以获取到key和iv偏移量。 获取到,但是遍历、爆破等等,Brup本身是不能够支持的,所以分享...
javasec_cn
Apache Solr stream.url SSRF与任意文件读取漏洞利用
Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通...
javasec_cn
weblogic 越权绕过登录POC(CVE-2020-14882)
漏洞利用为7001端口weblogic 10利用方式pom.xmlweblogic12
javasec_cn
[已修复]Alibaba Nacos to 认证ByPass漏洞,可导致RCE
Nacos是阿里巴巴2018年7月发布的一个产品,Nacos是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。
javasec_cn
Apache Flink目录遍历漏洞通告(CVE-2020-17518、CVE-2020-17519)
Apache Flink是一个框架和分布式处理引擎,用于对无限制和有限制的数据流进行有状态的计算。 Apache Flink中存在文件写入漏洞,攻击者可通过REST API 构造恶...
javasec_cn
Tomcat WebSocket 拒绝服务漏洞附EXP(CVE-2020-13935)
Apache Tomcat WebSocket拒绝服务漏洞(漏洞编号:CVE-2020-13935)PoC已公开,Apache官方在2020年7月14日披露了该漏洞。
javasec_cn
常见JAVA组件安全-Turning your data into code execution
不多说,直接上封面,末尾附下载: 下载链接: java_marshalsec.pdf
javasec_cn
windows 恢复试用IntelliJ IDEA
此方法来源于: 沈沉舟的公众号:青衣十三楼飞花堂不需要修改host使用正版,当然也可以使教育版或其他版本,此方法为另外一种使用正版方法。
javasec_cn
2020年10月发布WebLogic多个高危漏洞
美国时间2020年10月20日,Oracle发布2020年10月关键补丁更新,修复了多个评分为 9.8 的严重漏洞。 蚂蚁安全非攻实验室发现的两个严重漏洞: • CVE-2020-...
javasec_cn
Apache Solr configset upload文件上传漏洞(CVE-2020-13957)
Apache Solr是一个开源的搜索服务,使用Java语言开发。Apache Solr Configset Api上传功能存在未授权漏洞。攻击者可以构造特定请求,上传相关恶意文件...
javasec_cn
WebSphere Application Server XXE漏洞
WebSphere Application Server 是一款由IBM 公司开发的高性能的Java 中间件服务器,可用于构建、运行、集成、保护和管理部署的动态云和Web 应用。它...
