matcher | CN-SEC 中文网

安全漏洞

Spring Security RegexRequestMatcher 认证绕过漏洞 CVE-2022-22978

漏洞名称：Spring Security RegexRequestMatcher 认证绕过漏洞组件名称：Spring Security影响范围：5.5.0 <= Spring Security ...

02月15日21 views评论

阅读全文

安全漏洞

CVE-2024-52046 Apache MINA反序列化漏洞

漏洞描述Apache MINA 中的 ObjectSerializationDecoder 使用 Java 的原生反序列化协议来处理传入的序列化数据，但缺乏必要的安全检查和防御。此漏洞允许攻击者通过发...

12月31日28 views评论

阅读全文

安全文章

CVE-2022-32532复现

漏洞介绍在SpringMVC下的利用场景以及拓展思路。当天阅读完发现这并不是Spring Security特有的漏洞，而是一种半通用的思路，连夜分析了Apache Shiro和Spring MVC以及...

11月13日26 views评论

阅读全文

安全文章

原创 | 浅谈Apache与CVE-2023-20860

前言一般情况下，开发者配置鉴权时，可能都会遵循一个原则，就是“优先使用/**认证兜底”，明确哪些接口无需认证，而不是明确哪些接口需要认证。在Spring Controller中,以下两个路由访问是等价...

10月07日6 views评论

阅读全文

安全漏洞

Spring WebFlux - CVE-2023-34034 - 撰写和概念验证

免责声明由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号红云谈安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会...

09月26日44 views评论

阅读全文

安全文章

浅谈Apache Shiro CVE-2023-22602

漏洞描述 Apache Shiro 是一个可执行身份验证、授权、加密和会话管理的 Java 安全框架。由于 1.11.0 及之前版本的 Shiro 只兼容 Spring 的ant-sty...

08月05日74 views评论

阅读全文

安全文章

RegexRequestMatcher中的Spring安全授权绕过

漏洞简介在SpringSecurity版本5.5.6和5.6.3以及更早的不受支持的版本中，RegexRequestMatcher很容易被错误地配置为在某些servlet容器上被绕过。使用RegexR...

05月18日28 views评论

阅读全文

CVE-2022-22978 漏洞分析

产生原因：输入换行符则绕过权限校验的正则匹配。默认的java Pattern模式，不开启DOTALL时候，在默认匹配的时候不会匹配r n 字符。漏洞代码org.springframework.secu...

11月10日安全文章53 views评论

阅读全文

代码审计

华夏erp代码审计

0x01 环境搭建华夏ERP基于SpringBoot框架和SaaS模式，可以算作是国内人气较高的一款ERP项目，看网上已经公开了漏洞，本次对此框架代码进行源码审计。源码下载路径：https://git...

08月14日105 views评论

阅读全文

安全文章

浅谈SpringSecurity与CVE-2023-22602

前段时间Apache报告了CVE-2023-22602，由于 1.11.0 及之前版本的 Shiro 只兼容 Spring 的ant-style路径匹配模式（pattern matching），且 2...

06月28日8 views评论

阅读全文

安全新闻

VMware Spring Security 身份认证绕过漏洞(CVE-2022-22978)

网安引领时代，弥天点亮未来 0x00写在前面本次测试仅供学习使用，如若非法他用，与平台和本文作者无关，需自行负责！0x01漏洞介绍VMware Sprin...

02月24日140 views评论

阅读全文

安全文章

【技术干货】CVE-2022-22978 Spring-security 认证绕过漏洞分析和漏洞挖掘思考

xxhzz@PortalLab实验室前言在此之前，已经对CVE-2022-32532 Apache Shiro RegExPatternMatcher 认证绕过漏洞进行了分析，它和CVE-...

02月15日63 views评论

阅读全文

Spring Security RegexRequestMatcher 认证绕过漏洞 CVE-2022-22978

CVE-2024-52046 Apache MINA反序列化漏洞

CVE-2022-32532复现

原创 | 浅谈Apache与CVE-2023-20860

Spring WebFlux - CVE-2023-34034 - 撰写和概念验证

浅谈Apache Shiro CVE-2023-22602

RegexRequestMatcher中的Spring安全授权绕过

CVE-2022-22978 漏洞分析

华夏erp代码审计

浅谈SpringSecurity与CVE-2023-22602

VMware Spring Security 身份认证绕过漏洞(CVE-2022-22978)

【技术干货】CVE-2022-22978 Spring-security 认证绕过漏洞分析和漏洞挖掘思考

在线咨询

微信