学了一段时间漏洞复现,也有点手痒了,所以就有了这篇文章。0x01 漏洞简介该漏洞是由于在验证用户是否登录的时候采用了jwt-token验证的形式,又加上服务端生成jwt-token的时候使用了密钥硬编...
Spring全家桶各类RCE漏洞浅析
Spring全家桶简介Spring发展到现在,全家桶所包含的内容非常庞大,这里主要介绍其中关键的5个部分,分别是spring framework、 springboot、 spring cloud、s...
漏洞复现 CVE-2018-1259 Spring XXE
01—漏洞简介XMLBeans 提供了底层XML数据的对象视图,同时还能访问原始的XML信息集合。Spring Data Commons 1.13至1.13.11以及2.0至2.0.6的版本在与XML...
编写Spring Cloud Config Server路径穿越漏洞全面检测脚本
Spring Cloud Config Server路径穿越漏洞(CVE-2019-3799)的分析文章已经很多了,这里我不在画蛇填足。在分析该漏洞之后,发现了一些小细节,感觉对该漏洞检测还是挺有帮助...
Spring Retry 重试实现原理
点击下方“IT牧场”,选择“设为星标”来源:https://albenw.github.io/posts/69a9647f/概要Spring实现了一套重试机制,功能简单实用。Spring Retry是...
Spring Framework 反射型文件下载漏洞(CVE-2020-5398)复现
漏洞概述Spring是一个Java/Java EE/.NET的分层应用程序框架。Spring Framework 存在反射型文件下载漏洞 。此漏洞由于Spring Framework并没有对filen...
浅析CVE-2020-5405
漏洞信息 Spring Cloud Config 程序内部在处理客户端传入的资源时存在自动将 (_) 转换为 / 的隐藏转换,当 profile 设置为 native时,则会导致服务端路径穿越,因此攻...
Spring 反序列化 RCE 漏洞分析
说在前面 原标题叫 《Spring framework 反序列化 RCE 漏洞分析》 奈何只能输入 26 个字符以下,故叫 《Spring 反序列化 RCE 漏洞分析》 相关分析漏洞是一个几年前的漏洞...
最全的 Spring 依赖注入方式,你都会了吗
提起 Spring, 大家肯定不陌生,它是每一个 Java 开发者绕不过去的坎。它的核心技术之一是:Dependency Injection,翻译过来就是依赖注入,今天我们就来深入研究讲解一下。本文来...
有趣的SpEL注入
原创稿件征集邮箱:[email protected]:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的稿酬本文转自...
表达式注入学习
前言研究了一下SpEL注入RCE分析以及技巧,做了总结拿来分享一下,抛砖引玉。SpEL注入基础SpEL简介Spring表达式语言(简称 SpEL,全称Spring Expression La...
Spring Cloud Config 目录穿越漏洞(CVE-2020-5410)复现
Spring Cloud Config 目录穿越漏洞(CVE-2020-5410)一、漏洞简介Spring Cloud Config,2.2.3之前的2.2.x版本,2.1.9之前的2.1.x版本以及...
45