springboot - 第 9 | CN-SEC 中文网

安全文章

SpringBoot Actuator RCE 漏洞总结

一、SpringBoot env 获取* 敏感信息当我们直接访问 springboot 站点时,可以看到某些 password 字段填充了*1.通过${name} 可以获取明文字段&nbs...

03月07日46 views评论

阅读全文

安全文章

Springboot之Actuator信息泄露漏洞利用

0x01 什么是Actuator Spring Boot Actuator 模块提供了健康检查，审计，指标收集，HTTP 跟踪等，是帮助我们监控和管理Spring Boot 应用的模块。这个模块采集应...

03月06日629 views评论

阅读全文

应急响应

亡羊补牢，记一次演练后风险排查

泛星安全团队泛星安全团队第10篇文章声明文章内容为学习记录，请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。背景客户那边外网一个子域名业务被通报，之前针对官网的...

02月24日33 views评论

阅读全文

安全工具

Springboot安全扫描工具

0x01 Springboot漏洞来一道面试题：对于Springboot框架有什么测试思路？通俗地讲就是，探测敏感路径，查看是否有泄露敏感信息，以及是否泄露依赖信息，很多相关RCE都有依赖要求。 ...

02月15日307 views评论

阅读全文

安全文章

bcel环境下打入springboot内存马

1.环境说明在某个不出网环境中，spring boot jar包启的环境，存在fastjson漏洞，可通过bcel类来执行命令并回显。但是由于为不出网环境需要开正向代理出来，所以需要打入内存马。因为目...

01月30日90 views评论

阅读全文

安全工具

Spring Boot的开源渗透框架

声明：该公众号分享的安全工具和项目均来源于网络，仅供安全研究与学习之用，如用于其他用途，由使用者承担全部法律及连带责任，与工具作者和本公众号无关。工具简介日常渗透过程中，经常会碰到SpringBoot...

01月30日96 views评论

阅读全文

安全工具

一款针对SpringBoot的图形化利用工具

项目地址https://github.com/0x727/SpringBootExploit项目作者：0x727使用方法首先在服务器上上传打包好的JNDIExploit工具，解压。使用命令启动java...

01月15日154 views评论

阅读全文

安全文章

分享 | Springboot heapdump泄露读取分析

1. Springboot信息泄露1.1 可能泄露路由列表/api-docs /v2/api-docs /swagger-ui.html /api.html /sw/swagger-ui.html /...

12月21日168 views评论

阅读全文

CTF专场

原创 | SPEL注入流程分析及CTF中如何使用

点击蓝字关注我们配置https://github.com/LandGrey/SpringBootVulExploit/tree/master/repository/springboot-spel-rc...

12月08日55 views评论

阅读全文

安全文章

前端JavaScript渗透测试步步为营

扫码领资料获网安教程免费&进群事情起因在某次难度较高的众测项目中，笔者遇到了一个看起来”绝对安全的系统“，项目上线几天后此系统仍然没有被测试出漏洞，在没有系统功能、各种访问404的、没有测试账...

11月08日58 views评论

阅读全文

安全文章

SpringBoot框架SpEL表达式注入漏洞复现与原理分析

前言这是2016年的一个洞，利用条件是至少知道一个触发 springboot 默认错误页面的接口及参数名。影响版本：1.1.0-1.1.12 1.2.0-1.2.7 &nbs...

10月30日53 views评论

阅读全文

安全文章

渗透测试｜从实战分析Shiro反序列化漏洞

0x01 前言上次通过shiro反序列化拿下靶机后便谋生了想要看看他的key到底是怎么生成的想法，于是有了本篇文章。0x02 梅开二度 ...

10月28日202 views评论

阅读全文

SpringBoot Actuator RCE 漏洞总结

Springboot之Actuator信息泄露漏洞利用

亡羊补牢，记一次演练后风险排查

Springboot安全扫描工具

bcel环境下打入springboot内存马

Spring Boot的开源渗透框架

一款针对SpringBoot的图形化利用工具

分享 | Springboot heapdump泄露读取分析

原创 | SPEL注入流程分析及CTF中如何使用

前端JavaScript渗透测试步步为营

SpringBoot框架SpEL表达式注入漏洞复现与原理分析

渗透测试｜从实战分析Shiro反序列化漏洞

在线咨询

微信