影响范围jackson-databind before 2.9.10.4jackson-databind before 2.8.11.6jackson-databind before&nbs...
CVE-2020-36186:jackson-databind RCE
影响范围Jackson-databind < 2.9.10.7漏洞类型JDNI注入导致RCE利用条件开启enableDefaultTyping()使用了commons-dbcp第三方依赖库漏洞概...
CVE-2020-xxxx:Jackson-databind RCE
影响范围jackson-databind before 2.9.10.4jackson-databind before 2.8.11.6jackson-databind before&nbs...
威胁通告|Spring Data MongoDB SpEL表达式注入漏洞
01 漏洞概况 近日,微步情报局捕获到 Spring Data MongoDB SpEL 表达式注入相关漏洞情报,当使用 @Query或@Aggregation 注解进行查询,若查询中允许使...
jrasp如何定制web插件
JRASP 部署容易、接入便捷和安全插件面向开源社区等特点,得到越来越多的企业用户青睐,本文以 Undertow安全插件的视角来介绍...
CVE-2019-12384漏洞分析及复现
引言近期关于Jackson的RCE漏洞CVE-2019-12384爆出,关于漏洞的复现以及依赖,这里已经给出,笔者这边使用java的环境重新复现了一下,权当给各位看官当个翻译,也让在java上进行漏洞...
RCE .annRCE via Dependency Confusionnnhttps://sm4rty.medium.com/rce-via-dependency-confusion-e0ed2a127013nn
原文始发于微信公众号():RCE .annRCE via Dependency Confusionnnhttps://sm4rty.medium.com/rce-via-dependency-conf...
ysoserial的C3P0利用链分析
No.1声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必...
定时任务功能点绕过黑白名单执行任意sql语句
环境若依后台管理系统存在多种架构体系。如下这里使用RuoYi-fast v4.7.3(前后端不分离)来分析定时任务功能点处如何绕过黑白名单,执行任意的sql语句Quartz组件RuoYi-fast使用...
Log4j2 漏洞分析
Log4j2 漏洞分析 从堆栈角度追击Log4j2 JNDI漏洞 漏洞复现 pom.xml ```xml <?xml version="1.0" encoding="UTF-8"?> 4....
第三方组件安全评估指南
组件安全这个话题太大,从去年就一直构思,不知道该怎么写,大半年了,拖延癌晚期,今天终于拼凑了一篇,仅供大家参考,最近主要在整理组件安全相关方案,感兴趣的童鞋可以给我留言一块交流。简述常见第三方组件分为...
Apache Log4j2远程代码执行漏洞
0x00 前言本来是快乐游戏时间的,但是突然就出来这个洞了= =,当然这个突然用的比较夸张了,修复时间应该是在几天前了。本着学习的态度来进行一下简单的分析。0x01 环境首先是pom.xm文件,这个不...
7