ptor - 第 3 | CN-SEC 中文网

代码审计

技术说｜Confluence远程代码执行漏洞(setup-restore)分析 CVE-2023-22518

目录一、环境搭建二、漏洞分析1. Confluence鉴权逻辑2. 请求头X-Atlassian-Token3. holderAware.validate验证4. SetupRestoreAction...

11月21日76 views评论

阅读全文

安全漏洞

CVE-2023-22515-Confluence访问控制漏洞-任意管理员创建

CVE-2023-22515-Confluence访问控制漏洞-任意管理员创建夏季的遗憾终会在冬季圆满。The regrets of summer will eventually be fulfill...

11月07日55 views评论

阅读全文

安全漏洞

CVE-2023-42793 漏洞 | JetBrains TeamCity Server 上绕过 RCE

概述CVE-2023-42793 是 2023 年 9 月 19 日发布的关键身份验证绕过，影响CI/CD 服务器JetBrains TeamCity的本地实例。该漏洞最初由Sonar发现，允许未经身...

10月31日167 views评论

阅读全文

安全文章

Mysql JDBC反序列化

明天要面试，不想复习啊。之前不怎么学习这个漏洞。但是最近被问了两次，而且后来我发现不同类型数据库的反序列化漏洞还挺多的。看了看资料略写写还算简单。主要是分析反序列化部分，CC链部分不管，mysql协议...

10月26日20 views评论

阅读全文

安全文章

对 Confluence CVE-2023-22515 的一点分析

0x01 写在前面本篇文章只做分析，不提供可利用 payload上周三，Atlassian 在安全公告日发布了 CVSS 评分为 10分的 CVE-2023-22515，假期写了篇简陋的复...

10月14日21 views评论

阅读全文

安全文章

CVE-2023-22515 Confluence 权限提升漏洞分析

漏洞描述Confluence 是 Atlassian 公司开发的一款团队合作软件，主要用于团队成员共享知识、协作文档和集中存储资料。它广泛应用于各种组织中，不仅是技术团队，还有其他任何需要文档合作或知...

10月13日102 views评论

阅读全文

安全文章

原创 | SpringWeb常见鉴权措施与垂直越权检测

越权测试中的痛点/难点越权漏洞是日常开发中比较常见的一个缺陷。要进行越权检测，一般需要明确定义和管理系统中的权限。这可能包括用户角色、资源和操作的细粒度权限控制。维护这些权限定义并确保它们与实际业务操...

10月13日38 views评论

阅读全文

代码审计

浅谈Spring与Filter&Interceptor解析过程

0x00 前言过滤器（Filter），是JavaEE的标准，依赖于Servlet容器，使用的时候是配置在SpringMVC框架中是配置在web.xml文件中的，可以配置多个，执行的顺序是根据配置顺序...

10月06日34 views评论

阅读全文

技术说｜Confluence远程代码执行漏洞(setup-restore)分析 CVE-2023-22518

CVE-2023-22515-Confluence访问控制漏洞-任意管理员创建

CVE-2023-42793 漏洞 | JetBrains TeamCity Server 上绕过 RCE

Mysql JDBC反序列化

对 Confluence CVE-2023-22515 的一点分析

CVE-2023-22515 Confluence 权限提升漏洞分析

原创 | SpringWeb常见鉴权措施与垂直越权检测

浅谈Spring与Filter&Interceptor解析过程

在线咨询

微信