spring - 第 30 | CN-SEC 中文网

安全文章

CVE-2018-1271 Spring MVC 目录穿越漏洞复现

01背景漏洞编号：CVE-2018-1271影响范围： Spring Framework 5.0 to 5.0.4.Spring Framework 4.3 to 4.3.14已不支持的旧版本仍然受影...

12月11日848 views评论

阅读全文

安全文章

Spring 默认错误页面-命令执行

Spring 默认错误页面命令执行一、漏洞简介Spring 表达式语言（简称 SpEL）是一种强大的表达式语言，支持在运行时查询和操作对象图。语言语法类似Struts2 的OGNL。但提供了额外的功能...

12月07日260 views评论

阅读全文

安全漏洞

漏洞复现 | CVE-2017-8046 Spring Data Rest 远程命令执行

0x00 前言Spring-data-rest服务器在处理PATCH请求时，攻击者可以构造恶意的PATCH请求并发送给spring-date-rest服务器，通过构造好的JSON数据来执行任意Java...

11月23日287 views评论

阅读全文

安全文章

Thymeleaf SSTI 分析以及最新版修复的Bypass

0x01 写在前面前段时间补上了迟迟没有写的文件包含漏洞原理与实际案例介绍一文，在其中就提到了 Thymeleaf SSTI 漏洞，昨天在赛博群里三梦师傅扔了一个随手挖的 CVE——Thymelea...

11月20日117 views评论

阅读全文

安全文章

spring boot 漏洞批量检测

本文始发于微信公众号（合天网安实验室）：spring boot 漏洞批量检测

10月27日828 views评论

阅读全文

安全闲碎

Spring为什么建议使用构造器来注入？

点击下方“IT牧场”，选择“设为星标”作者 | Richard_Yi来源 | juejin.cn/post/6844904056230690824前言本章的内容主要是想探讨我们在进...

10月25日89 views评论

阅读全文

安全开发

图解 Spring 循环依赖，写得太好了！

点击下方“IT牧场”，选择“设为星标”来源：juejin.im/post/5e927e27f265da47c8012ed9正文Spring解决循环依赖循环依赖的本质what？问题的本质居然是two s...

10月24日77 views评论

阅读全文

安全文章

CVE-2021-21234 Spring Boot 目录遍历

spring-boot-actuator-logview 在一个库中添加了一个简单的日志文件查看器作为 sprin...

10月19日514 views评论

阅读全文

未分类

Spring Data Commons 远程命令执行漏洞

漏洞简介： Spring Data是一个用于简化数据库访问，并支持云服务的开源框架，Spring Data Commons是Spring Data下所有子项目共享的...

09月29日74 views评论

阅读全文

安全文章

SpringBoot攻击面剖析

SpringBoot简介 SpringBoot是一种全新的框架，目的是为了简化Spring应用的初始搭建以及开发过程。该框架使用特定的方式(集成starter，约定优于配置)来进行配置，从而使开发人员...

09月26日97 views评论

阅读全文

未分类

如何保护 Spring Boot 配置文件中的敏感信息

点击下方“IT牧场”，选择“设为星标” 来源：blog.csdn.net/jeikerxiao/article/details/96480136 说明使用过SpringBoot配置文件的朋友都知道，...

09月22日62 views评论

阅读全文

安全开发

Spring 注解比较，@Bean 和 @Component的区别

点击下方“IT牧场”，选择“设为星标”本文打算介绍几个不太容易说出其区别，或者用途的 Spring 注解，比如 @Component 与 @Bean 的比较，@...

09月16日94 views评论

阅读全文

在线咨询

微信