案例案例一 巧用空格绕过权限校验:巧用空格绕过权限校验某系统存在未授权获取用户信息的漏洞,后面修复了,当直接访问该接口时,会跳转到权限禁止的页面接口大概如下/api/xxx/xxx绕过方法:/api%...
从 CVE 学 Shiro 安全
本文首发在梅子酒师傅的知识星球《胡言乱语》,感谢师傅邀请为嘉宾。进一步排版、修改之后会发在 NoSec 平台及相关公众号中。 当然,校准后的文章和测试代码会更新至 JavaSec 中。 前言 本文继续...
漏洞复现 | Shiro1.70认证绕过分析(CVE-2020-17523)
前言Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网...
Apache Shiro 认证绕过分析(CVE-2020-17523)
作者:jweny@360云安全。文章首发于安全客https://www.anquanke.com/post/id/230935放个很好看的图镇楼0x01 漏洞描述Apache Shiro是一个强大且易...
Shiro 历史漏洞分析
什么是Shiro Apache Shiro is a powerful and easy-to-use Java security framework that performs authentica...
Shiro 历史漏洞分析
什么是Shiro Apache Shiro is a powerful and easy-to-use Java security framework that performs authentica...
Shiro 历史漏洞分析
什么是Shiro Apache Shiro is a powerful and easy-to-use Java security framework that performs authentica...
【转】HackShiro
HackShiro本项目创建于2020年8月11日。记录自己在学习Shiro漏洞过程中遇到的一些知识。本项目会持续更新,最近的一次更新时间为2022年4月23日。•01-Shiro基础知识[1]•02...
emoji、shiro与log4j2漏洞
引言 小黄脸emoji几乎每天在聊天的时候都会使用到,在某些waf bypass也会看到它的身影。 shiro、log4j2这两个组件应该都不陌生了,在...