ognl - 第 3 | CN-SEC 中文网

安全漏洞

Atlassian Confluence远程代码执行漏洞（CVE-2023-22527）详解与利用分析

漏洞描述：CVE-2023-22527 是 Atlassian Confluence 服务器和数据中心中的一个严重漏洞。此漏洞存在于较旧版本的Confluence Data Center和Server...

01月23日120 views评论

阅读全文

安全新闻

揭秘 NKAbuse：一种滥用 NKN 协议的新型多平台威胁

更多全球网络安全资讯尽在邑安全在卡巴斯基全球紧急响应团队（GERT）和GReAT处理的一次网络安全事件应急响应过程中，研究人员发现了一个名为“KNAbuse”的新型多平台网络威胁。这款恶意软件利用了N...

01月22日14 views评论

阅读全文

安全漏洞

S2-001远程代码执行漏洞

漏洞简介漏洞在于，当用户提交表单数据并且验证失败时，服务器使用OGNL表达式%{value}解析用户先前提交的参数值，并重新填充相应的表单数据。例如，在注册或登录页面。当提交失败时，服务器通常默认返回...

12月25日21 views评论

阅读全文

安全文章

大华 DSS Struct2-045

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测，如有侵权请联系删除。本次...

12月15日161 views评论

阅读全文

安全博客

原创Paper |Struts2 历史 RCE 的学习与研究：附最新 S2-066（CVE-2023-50164）

作者：Sunflower@知道创宇404实验室时间：2023年12月14日1.前言参考资料为了初步掌握 Struts2，我复现了 Struts2 框架中的漏洞系列。尽管网络上存在许多详细分析的文章，但...

12月14日42 views评论

阅读全文

Struts2漏洞POC汇总

免责申明：文章中的工具以及POC等仅供个人测试研究，请在下载后24小时内删除，不得用于商业或非法用途，否则后果自负，如有使用于黑产者，与本文无关 Struts2框架漏洞不断，鉴于struts2使用之广...

12月14日安全博客24 views评论

阅读全文

安全文章

struts2任意文件上传分析

漏洞说明由于Struts框架在处理参数名称大小写方面的不一致性，导致攻击者能够通过修改参数名称的大小写来利用目录遍历技术（如使用../路径）上传文件到服务器的非预期位置。漏洞复现环境介绍 2.5...

12月12日31 views评论

阅读全文

安全文章

S2-008远程代码执行

漏洞简介S2-008涉及多个漏洞，Cookie拦截器错误配置可造成OGNL表达式执行，但由于大多数Web容器（如Tomcat）对Cookie名称都有字符限制，一些关键字符无法使用使得这个点宽度比较鸡肋...

12月05日24 views评论

阅读全文

安全文章

S2-007远程代码执行漏洞

漏洞简介age来自于用户输入，传递一个非整数给id导致错误，struts会将用户的输入当作ongl表达式执行，从而导致了漏洞。要成功利用，只需要找到一个配置了类似验证规则的表单字段使之转换出错，借助类...

12月02日42 views评论

阅读全文

安全漏洞

S2-005 远程代码执行漏洞

漏洞简介s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12)，struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过...

11月24日42 views评论

阅读全文

安全漏洞

CVE-2023-22515-Confluence访问控制漏洞-任意管理员创建

CVE-2023-22515-Confluence访问控制漏洞-任意管理员创建夏季的遗憾终会在冬季圆满。The regrets of summer will eventually be fulfill...

11月07日56 views评论

阅读全文

安全文章

九维团队-绿队（改进）| OGNL表达式简介

写在前边OGNL 是 Object-Graph Navigation Language（对象导航图语言）的缩写，它是一种功能强大的表达式语言，通过简单一致的表达式语法，可以存...

05月04日32 views评论

阅读全文