Apahce Shiro 由于处理身份验证请求时出错 存在 权限绕过漏洞,远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。
Spring Framework反射型文件下载漏洞(CVE-2020-5421)
Spring Framework是 Java 平台的一个开源全栈应用程序框架和控制反转容器实现,一般被直接称为 Spring。
Apache Spark存在远程代码执行漏洞(CVE-2020-9480)
2020年6月23日,国家信息安全漏洞共享平台(CNVD)收录了由杭州安恒信息技术股份有限公司报送的Apache Spark远程代码执行漏洞(CNVD-2020-34445,对应C...
Apache Dubbo Provider默认反序列化远程代码执行漏洞公告(CVE-2020-1948)
Apache Dubbo 是一个分布式服务框架,致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。简单的说,dubbo就是个服务框架,如果没有分布式的需求,...
Fastjson BasicDataSource攻击链简介
沈沉舟@青衣十三楼飞花堂 「声明: 文中涉及到的相关漏洞均为官方已经公开并修复的漏洞,涉及到的安全技术也仅用于企业安全建设和安全对抗研究。本文仅限业内技术研究与讨论,严禁用于非法用...
JAVA RMI反序列化知识详解
Author: Alpha@天融信阿尔法实验室在Java反序列化漏洞挖掘或利用的时候经常会遇见RMI,本文会讲述什么是RMI、RMI攻击方法、JEP290限制、绕过JEP290限制...
Apache CommonCollection Gadget几种特殊的玩法
Author:UnicodeSec@宽字节安全众所周知,CommonCollection Gadget主要是由ConstantTransformer,InvokerTransfor...
Shiro RCE/反序列/命令执行一键利用工具
工具仅供安全自测,未经授权不得非法测试!使用工具请遵守《中华人民共和国网络安全法》。
Exploiting Jolokia Agent with Java EE Servers
本文作者:RicterZ**0x00 - About Jolokia**Jolokia 是一个通过 HTTP 的 JMX 连接器,提供了类 RESTful 的操作方式,可以通过 P...
[CVE-2017-15709]Apache ActiveMQ Information Leak
2017年的第二个cve问题原因:Apache ActiveMQ默认消息队列61616端口对外,61616端口使用了OpenWire协议,这个端口会暴露服务器相关信息,这些相关信息...
[CVE-2017-3066]Adobe Coldfusion BlazeDS Java反序列化漏洞
Exploit Title: Adobe Coldfusion BlazeDS Java Object Deserialization RCE Date: February 6, ...
[CVE-2017-15708]Apache Synapse远程命令执行漏洞分析
**0X00 介绍**Apache Synapse是一种轻量级的高性能企业服务总线(ESB)。Apache Synapse由快速和异步的中介引擎提供支持,为XML、Web服务和RE...
4