cve-2020-1957 | CN-SEC 中文网

代码审计

炼石计划之50套JavaWeb代码审计（四）：有趣的进销存系统

在这面具之下，是你坚强的信念闪石星曜炼石计划之50套JavaWeb代码审计第五套：若依管理系统某版本第六套：任务调度系统第七套：OFCMS正在火热练习阶段ing......并且定期分享ing........

06月10日33 views评论

阅读全文

安全工具

一个漏洞POC知识库目前数量 1000+

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，海底生残月及文章作者不为此承担任何责任。 0x01 漏洞描述 C...

04月01日191 views评论

阅读全文

安全文章

CVE-2020-1957-Apache Shiro认证绕过漏洞

1.漏洞原理在Apache Shiro 1.5.2以前的版本中，在使用Spring动态控制器时，攻击者通过构造”..;”这样的跳转，可以绕过Shiro中对目录的权限限制。我们需要分析我们请求的URL在...

03月15日21 views评论

阅读全文

安全博客

Apache Shiro权限绕过漏洞分析(CVE-2020-11989)

Apache Shiro作为常用的Java安全框架，拥有执行身份验证、授权、密码和会话管理等功能，通常会和Spring等框架一起搭配使用来开发Web应用。最近研究Shiro本来是为SCTF出题做准备，...

02月27日62 views评论

阅读全文

安全文章

【框架安全】CVE 复现&Apache Shiro&Apache Solr漏洞复现

网安教育培养网络安全人才技术交流、学习咨询01中间件列表中间件及框架列表：IIS，Apache，Nginx，Tomcat，Docker，K8s，Weblogic，JBoos，WebSphere，Jen...

01月06日31 views评论

阅读全文

安全文章

实战之巧用编码与符号

案例案例一巧用空格绕过权限校验:巧用空格绕过权限校验某系统存在未授权获取用户信息的漏洞，后面修复了，当直接访问该接口时，会跳转到权限禁止的页面接口大概如下/api/xxx/xxx绕过方法：/api%...

10月24日30 views评论

阅读全文

安全文章

Shiro 认证绕过漏洞总结

前面章节已经对Shiro的功能和原理进行的简要的介绍，可见：追洞计划之渗透测试篇｜Shiro反序列化Apache Shiro是一款开源安全框架，提供身份验证、授权、密码学和会话管理。Shiro框架直观...

07月20日61 views评论

阅读全文

从 CVE 学 Shiro 安全

本文首发在梅子酒师傅的知识星球《胡言乱语》，感谢师傅邀请为嘉宾。进一步排版、修改之后会发在 NoSec 平台及相关公众号中。当然，校准后的文章和测试代码会更新至 JavaSec 中。前言本文继续...

05月25日安全博客66 views评论

阅读全文

安全文章

渗透测试之地基服务篇：服务攻防之框架Shiro（总）

简介渗透测试-地基篇该篇章目的是重新牢固地基，加强每日训练操作的笔记，在记录地基笔记中会有很多跳跃性思维的操作和方式方法，望大家能共同加油学到东西。请注意：本文仅用于技术讨论与研究，对于所有笔记中复现...

03月08日48 views评论

阅读全文

安全文章

漏洞复现-CVE-2020-1957

免责声明本公众号所发布的文章及工具只限交流学习，本公众号不承担任何责任！如有侵权，请告知我们立即删除。漏洞概述Apache Shiro 认证绕过漏洞（CVE-2020-1957）Apache Shir...

02月08日84 views评论

阅读全文

安全文章

漏洞复现-CVE-2016-4437

免责声明本公众号所发布的文章及工具只限交流学习，本公众号不承担任何责任！如有侵权，请告知我们立即删除。漏洞概述Apache Shiro 1.2.4反序列化漏洞（CVE-2016-4437）Apache...

12月17日57 views评论

阅读全文

安全文章

shiro历史漏洞分析—CVE-2020-1957漏洞

出品|先知社区(ID:alter99）声明以下内容，来自先知社区的alter99作者原创，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，长白山攻防实验室以及文章...

09月23日140 views评论

阅读全文