druid - 第 5 | CN-SEC 中文网

安全文章

若依刷洞技巧分享

No.0 若依刷洞技巧若依框架弱口令+未授权漏洞+ Druid 查找敏感信息若依采用前后端分离，一般可以通过接口获取信息 icon搜索黑若依:icon_hash="-1231872293" 绿若...

05月16日120 views评论

阅读全文

安全文章

记录一次独特的Fuzz技巧从而接管28台云服务器包括支付集群并取得万元赏金的过程

0x01 前言我们知道Fuzz Testing (模糊测试)是一种测试方法，而对于目录Fuzz而言，取得的成效跟字典有着密切关系，下面我将记录一次自己的Fuzz思路从而接管28台云服务器包...

05月07日12 views评论

阅读全文

安全漏洞

漏洞预警 | 若依druid未授权访问漏洞

0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述若依框架是一款基于Spring Boot、Spring Cloud、OAuth2与JWT鉴权等核心技术的快速开发平台。它支持多种安全框架和...

05月01日127 views评论

阅读全文

安全文章

若依系统恰分攻略

扫码领资料获网安教程本文由掌控安全学院 - 杳若投稿前言之前介绍了若依系统的druid弱口令，接下来介绍若依系统的其他上分攻略如果单纯的druid弱口令，那么只是低危，配合其他的可以升级危害。若依系...

04月26日48 views评论

阅读全文

安全文章

【实战】记一次EDU外围打点获高危RANK复盘！

点击蓝字，立即关注Gat黑盒通杀一般是一个耗时的过程，相比白盒他并不是透明的状态，我的黑盒渗透思路是要学会如何从外围打点，抓住一切可以利用的漏洞点，再尝试进一步利用扩大危害，去年12月份也是凭借这个小...

04月19日17 views评论

阅读全文

安全文章

Edusrc通杀复盘：一次从外围打点进入后台的奇妙历程

黑盒通杀一般是一个耗时的过程，相比白盒他并不是透明的状态，我的黑盒渗透思路是要学会如何从外围打点，抓住一切可以利用的漏洞点，再尝试进一步利用扩大危害，去年12月份也是凭借这个小通杀上了近100rank...

04月14日21 views评论

阅读全文

安全文章

Apache Druid 代码执行漏洞（CVE-2021-25646）

漏洞描述 Apache Druid包括执行嵌入在各种类型请求中的用户提供的JavaScript代码的能力。这个功能是为了在可信环境下使用，并且默认是禁用的。然而，在Druid 0.20.0及以前的版本...

02月29日25 views评论

阅读全文

安全文章

java常见未授权组件

前言在java项目中，经常会使用一些监控类的组件来监控系统的状态，如果对这些组件没有做好权限控制，公网可以任意访问的话，就会泄露敏感信息，进一步造成更严重的危害。今天就来看一下，都有哪些组件。java...

02月27日19 views评论

阅读全文

安全新闻

Lucifer僵尸网络软件瞄准Apache大数据产品

本文内容来自转载，且为译文。内容来源：https://www.aquasec.com/blog/lucifer-ddos-botnet-malware-is-targeting-apache-big-...

02月22日62 views评论

阅读全文

安全文章

JAVA常用组件未授权漏洞解析

文章目录前言 Druid未授权漏洞修复建议 SwaggerUI未授权漏洞 Spring boot Actuator未授权漏洞漏洞发现 Spring Eureka未授权访问漏洞漏洞利用方式漏洞...

01月25日35 views评论

阅读全文

安全文章

【日刷亿洞】批量爆破Druid后台账号密码

背景不会用工具的小子不配称为脚本小子，下面是【一个不正经的黑客】推出的日刷亿洞系列的教程，但毕竟不是什么正经公众号，喜欢吹牛但也喜欢将牛落地，主打的就是你对我爱答不理，我对你一往情深，日后，更爱！！...

01月15日165 views评论

阅读全文

安全漏洞

CVE-2023-25194Apache Druid-RCE复现附批量扫描脚本

Apache Druid是一个高性能的实时大数据分析引擎，支持快速数据摄取、实时查询和数据可视化。它主要用于OLAP（在线分析处理）场景，能处理PB级别的数据。Druid具有高度可扩展、低延迟和高吞吐...

01月10日158 views评论

阅读全文