0x02 漏洞描述 kkFileView 文档管理系统 存在任意文件读取漏洞。 0x03 漏洞复现 fofa-qeury: body="/onlinePreview?url" 1.执行p...
详细剖析某erp漏洞
扫码领资料获网安教程深入学习Java代码审计技巧—详细剖析某erp漏洞简介对于Java代码审计,主要的审计步骤如下:确定项目技术框架、项目结构环境搭建配置文件的分析:如pom.xml、web.xml等...
漏洞复现 | WebFlux Security 认证绕过(CVE-2023-34034)
产品介绍Spring WebFlux 是 Spring Framework 5.0 中引入的新的响应式Web框架。与Spring MVC不同,它不需要Servlet API,是完全异步且非阻塞的,并且...
春秋云境——Delivery WriteUp
外网XStream打点拿到IP,对外网做信息搜集,外网的FTP允许匿名登录,FTP里有1.txt和pom.xml,1.txt是空的用mget命令下载文件:mget 1.txtmget pom.xmlp...
华夏erp账号密码泄露+后台rce(最新组合漏洞)
0x01 阅读须知凯撒安全实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算...
九维团队-绿队(改进)| OFCMSV1.1.2审计练习(上)
前言 笔者最近在学习Java代码审计,从网上找了一套已知漏洞的开源项目进行学习,利用白加黑的形式进行审计练习。 一、项目结构 ofcms是一款基于java开发的内容管理系统,技术栈包括jfinal D...
供应链SCA之Maven间接依赖
0x00 Referer 安全同学谈谈Maven依赖仲裁0x01 Maven是什么? 依赖管理工具0x01 通过什么手段管理依赖的? 通过一组GAV明确表示一个依赖,比如:<groupId>...
BR论坛站长Pom出庭,FBI曝光如何找到他家
阅读本文前请看前传(按时间顺序):突发:Breach黑客论坛管理员POMpo..被抓BR黑客论坛管理员Pom更多细节曝光(照片)突发:Breach论坛宣布关停Breach论坛站长康纳·布赖恩·菲茨帕特...
BR黑客论坛管理员Pom更多细节曝光(照片);NBA已承认!敏感数据泄露,警告球迷安全风险
BR黑客论坛管理员Pom更多细节曝光(照片)“Breach论坛”管理员或称之为站长“Pompompurin”被抓,也知道该男子为21岁美国人康纳·布赖恩·菲茨帕特里克 (Conor Brian Fit...
Java代码审计项目--某在线教育开源系统
目录前台找回密码处验证码重复利用XSSSQL注入前台用户横向越权CSRF前台文件上传getshell环境部署下载源代码,使用IDEA进行部署,项目pom.xml进行maven依赖包添加、配置数据库账号...
CI\CD流程上软件成分分析如何解决间接依赖问题、安全运营本质与安全有效性验证讨论、如何提升渗透测试质量... | 总第181周
0x1本周话题TOP3话题1:请问在cicd流程中进行软件成分分析的时候,大家遇到间接依赖的问题是怎么解决的?比如maven声明了当前代码使用依赖是最新的版本,间接依赖存在低版本,但是这种情况编译...
提取Maven项目SBOM的坑点
在前些年工作中,我针对Maven、Composer、Pip等主流构建工具/包管理工具写过提取SBOM的插件。如今看来,面对当下的SCA安全工作,之前写的小工具是过于肤浅了。近期测试了国内外几家厂商的S...