xml - 第 19 | CN-SEC 中文网

代码审计

浅析Ofbiz反序列化漏洞（CVE-2020-9496）

0x01 基础知识Apache Ofbiz简介OFBiz是一个非常著名的电子商务平台，是一个非常著名的开源项目，提供了创建基于最新J2EE/XML规范和技术标准，构建大中型企业级、跨平台、跨数据库、跨...

10月11日326 views评论

阅读全文

安全文章

Tomcat后台管理账号扫描利用及防御

目前很多大型网站和公司都采用Java做为支撑，Tomcat是应用（Java）服务器，它只是一个servlet容器，是Apache的扩展，其后台管理功能非常强大，...

10月03日415 views评论

阅读全文

CTF专场

从XML相关一步一步到XXE漏洞

0x00 前言想学XXE漏洞，XXE(XML External Entity Injection)全称为XML外部实体注入。XML？！发现我不会，简单看了一下基础知识，发现XML还可能存在XML注入和...

09月29日101 views已关闭评论

阅读全文

安全文章

内网学习笔记 | 16、组策略凭据获取

0、前言SYSVOL 是活动目录里的一个用于存储域公共文件服务器副本的共享文件夹，在域中的所有域控之间进行复制，SYSVOL 在所有经过身份验证的域用户或者域信任用户具有读权限的活动目录域范围内共享，...

09月29日121 views评论

阅读全文

CentOS下tomcat安全配置

1. 安装后初始化配置当Tomcat完成安装后你首先要做的事情如下：首次安装完成后立即删除webapps下面的所有代码rm -rf /srv/apache-tomcat/webapps/*注...

09月24日安全闲碎111 views评论

阅读全文

未分类

每日安全动态第117期（09.17 - 09.23）

每日安全动态安/全/分/析 01 ANALYSIS CVE-2020-28653：反序列化漏洞管理引擎OpManager智能更新管理器组件使用的HTTP端点可用于反序列化任意Java对象。 htt...

09月23日74 views评论

阅读全文

CodeQL编译全部的xml文件进数据库的方法

一个小技巧学会了这个其他想打包到数据库中的文件类型也是一样的原理使用场景：扫一些xml配置的比如properties扫mybatis的%mapper.xml 本文始发于微信公众号（xsser的博客...

09月15日安全闲碎198 views评论

阅读全文

安全漏洞

漏洞复现 | XStream 发布安全更新修复多个高危漏洞

点击上方订阅话题第一时间...

09月04日305 views评论

阅读全文

安全文章

XXE 注入指南

XXE简介XXE是对应用程序执行的一种攻击，以解析其XML输入。在此攻击中，包含对外部实体的引用的XML输入由配置较弱的XML解析器处理。像跨站点脚本（XSS）中一样，我们尝试类似地注入脚本，在此我们...

09月04日64 views评论

阅读全文

安全文章

利用GPO(组策略对象)批量控制域内主机

原创作者：Shanfenglan7作者介绍：一个刚步入安全行业的人，乐意分享技术，乐意接受批评，乐意交流。希望自己能把抽象的技术用尽量具体的语言讲出来，让每个人都能看懂，并觉得简单。最后希望大家可以关...

09月03日147 views评论

阅读全文

安全文章

Xstream 漏洞复现

Xstream 漏洞复现一、Xstream 简介XStream是一个轻量级、简单易用的开源Java类库，用来将对象序列化成XML （JSON）或反序列化为对象;反之亦然(即：可以轻易的将Java对象和...

08月26日384 views评论

阅读全文

安全漏洞

【安全公告】XStream多个安全漏洞通告

漏洞名称 : XStream多个安全漏洞通告组件名称 : XStream安全公告链接 : https://x-stream.github.io/changes.html ...

08月24日62 views评论

阅读全文

在线咨询

微信