鉴权绕过 - 第 2 | CN-SEC 中文网

Spring Security 大小写敏感校验鉴权绕过风险

一、漏洞描述 Spring Security 是开源的身份验证和访问控制框架。由于java语言中String.toLowerCase()、String.toUpperCase()方法与语言地区(Lo...

01月14日安全漏洞54 views评论

阅读全文

安全文章

价值1.4 W人民币漏洞！骚！缓存配置错误造成鉴权绕过

价值1.4 W人民币漏洞！骚！缓存配置错误造成鉴权绕过正文这篇文章讲述了我最喜欢的一个漏洞发现，因为它是一个非常出乎意料的问题。我当时在测试一个电子商务网站。该网站有两个资产在测试范围内：target...

12月16日12 views评论

阅读全文

安全新闻

Spring Security大小写敏感校验鉴权绕过风险CVE-2024-38827

漏洞描述:SpringSecurity是开源的身份验证和访问控制框架,由于java语言中String.toLowerCase()、String.toUpperCase()方法与语言地区(Locale)...

11月23日226 views评论

阅读全文

安全新闻

Spring Security大小写敏感校验鉴权绕过风险CVE-2024-38827

漏洞描述:SpringSecurity是开源的身份验证和访问控制框架,由于java语言中String.toLowerCase()、String.toUpperCase()方法与语言地区(Locale)...

11月23日56 views评论

阅读全文

安全文章

攻防演练-信息收集源码getshell

分享一下前段时间攻防演练中信息收集到源码getshell的思路（信息敏感，以厚码展示）。一、信息收集源码打开该gov靶标网站，暂时无法判断是否由建站系统搭建的。通过右键查看html源码，看看是否有特征...

10月10日20 views评论

阅读全文

安全文章

java-web 自动化鉴权绕过

01工具介绍审Java代码的时候，经常会遇到接口因鉴权问题被组合拳getshell，例如泛微和海康安防这些系统。为了平时审代码与绕鉴权时节省点时间，花了点时间分析总结了下网上所有与Java鉴权有关的问...

09月26日53 views评论

阅读全文

安全文章

一个值钱的漏洞报告之由于缓存配置错误导致的鉴权绕过

新思路解锁🔓这篇漏洞报告是我最喜欢的漏洞发现之一，因为这是一个非常出乎意料的问题导致的鉴权绕过。当时我正在测试一个电商网站。它有 2 个资产 (网站均使用化名) target.com、admin.ta...

09月19日25 views评论

阅读全文

代码审计

代码审计之某高校通用系统getRequsetURI函数的三次鉴权绕过

前言：放一篇星球里面的代码审计的漏洞案例，该系统为大量高校使用的一个系统。三次绕过。正文：如图所见，系统厂商采用的是利用过滤器的写法进行鉴权第一次的校验代码：即requestURI转为小写后，后缀只...

05月07日28 views评论

阅读全文

Spring Security 大小写敏感校验鉴权绕过风险

价值1.4 W人民币漏洞！骚！缓存配置错误造成鉴权绕过

Spring Security大小写敏感校验鉴权绕过风险CVE-2024-38827

Spring Security大小写敏感校验鉴权绕过风险CVE-2024-38827

攻防演练-信息收集源码getshell

java-web 自动化鉴权绕过

一个值钱的漏洞报告之由于缓存配置错误导致的鉴权绕过

代码审计之某高校通用系统getRequsetURI函数的三次鉴权绕过

在线咨询

微信