0x01 写在前面本周二(3.1)的时候Spring官方发布了 Spring Cloud Gateway CVE 报告其中编号为 CVE-2022-22947 Spring Cloud Gateway...
工具 | IPFilter
注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。0x00 简介IPFilter是一款HVV攻防演练必备的IP筛选工具。0x01 功...
Tomcat URL解析差异性导致的安全问题
免责声明:由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢...
DataEase 远程代码执行漏洞分析
漏洞描述DataEase 是一款开源的数据可视化分析工具,旨在帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。漏洞影响版本: DataEase < 2.10.10漏洞详情: 在过滤...
某景人事管理系统漏洞挖掘与分析
原文链接:https://xz.aliyun.com/news/18132路由分析/权限认证 web.xml文件,定义了大部分路由,其中存在一个filter,这里的版本比较低,此filter的内容大概...
Java Web代码执行漏洞回显总结
最近在学习几位师傅研究的Java Web代码执行漏洞下的回显方式,收获很多,能力有限,此文也没有什么新的思路,仅当个人学习笔记 在java漏洞利用中经常出现获取不到执行结果的情况,之前常见的方法即通过...
本地文件包含测试工具
去年某政务云重保让我长了记性:攻击队早就不玩`php://filter`这种直球攻击了。他们在`file=`参数里玩俄罗斯套娃,先用base64编码绕WAF,再套两层路径遍历,最后用expect包装器...
最新xxl-job综合漏洞检测利用工具|漏洞探测
0x01 工具介绍 xxl-job-attack 是一个用于检测和利用 XXL-JOB 系统漏洞的综合工具。该工具可以检测默认口令、未授权的Hessian反序列化漏洞、Executor未授权命令执行漏...
基于路由转发导致的权限认证绕过漏洞分析
目录一、前 言二、路由转发导致权限认证绕过三、漏洞分析四、总 结一前 言在 Web 应用程序的开发过程中,安全问题始终是至关重要的。权限认证作为保障系统安全的重要防线,能够确保只有经过授权的用户...
Java内马尔安全 - Filter内存马分析
Filter内存马1.基础知识Filter正常是用来处理请求和相应的处理和过滤,如下图:来自 --- 中间件内存马注入&冰蝎连接如上图,Filter类似于一个网关的作用,请求需要先通过定义的F...
【刘农TV】浅谈ISCC
CTF圈的师傅应该都知道ISCC的一个web题容器被shell了,可谓是非常之抽象:首先这个题还是一如既往的脑洞+web,可以说是misc混搭各种题型,尤其是今天的一道web(已经拔线了,给各位口述吧...
内存取证工具Volatility 3 正式发布
Volatility 团队非常自豪和兴奋地宣布 Volatility 3 的第一个官方版本,它不仅可以完全取代 Volatility 2 用于现代调查,而且还具有许多令人兴奋的新功能!在这篇博文中,我...