Wesley13 Wesley13
3年前
jackson
1.  漏洞描述近日,百度云安全团队跟踪到jacksondatabind在github上更新了一个新的反序列化利用类com.caucho.config.types.ResourceRef,issue编号2660,该类绕过了之前jacksondatabind维护的黑名单类。如果项目中包含resinkernel库,并且JDK版本较低的
Easter79 Easter79
3年前
springcloud分布式架构的理解
一、什么是微服务架构微服务是一种架构模式或者一种架构风格,提倡将单一应用程序划分成一组小的服务独立部署,服务之间相互配合、相互协调,每个服务运行于自己的进程中。服务与服务间采用轻量级通讯,如HTTP的RESTfulAPI等避免统一的、集中式的服务管理机制Struts2安全问题被踢出微服务:强调的是服务的大小,关注的是某一个点,是具
Stella981 Stella981
3年前
ElasticSearchd未授权访问
ElasticSearch是一款Java编写的企业级搜索服务,启动此服务默认会开放HTTP9200端口,可被非法操作数据。1.熟悉的响应YouKnow,forSearch2.漏洞测试安装了river之后可以同步多种数据库数据(包括关系型的mysql、mongodb等)。h
Stella981 Stella981
3年前
Pwn之简单patch
亲爱的,关注我吧文章共计1389个词图片xue微有点多注意流量哦预计阅读7分钟来和我一起阅读吧≈≈≈≈≈≈≈≈≈≈≈≈≈≈≈1引言在攻防的时候不仅仅需要break,还需要fix将漏洞patch上。2工具这里我使用的是keypatch这个ida
Easter79 Easter79
3年前
Springboot修改内嵌Tomcat版本
最近Tomcat爆出高危漏洞,基本影响所有的Tomcat版本,故需要对springboot项目进行版本升级ps:一般不建议修改springboot内嵌版本,内嵌版本都是经过验证比较稳定的版本1、查询springboot内嵌的版本使用idea等工具可以直接通过pom文件查看下面parent里面的To
Stella981 Stella981
3年前
Jenkins 安全修复 SECURITY
!(https://oscimg.oschina.net/oscnet/37373541ed734769a0d556fd77488c6a.png)🚀普通用户检查你的Jenkins版本,界面上是否有SECURITY626相关的安全漏洞提醒。如果有的话,建议准备升级。尤其是对于Jenkins运行在公有云环境中的
Wesley13 Wesley13
3年前
获取标题失败~
跨站的艺术XSSFuzzing的技巧(https://my.oschina.net/u/3352375/blog/867931"跨站的艺术XSSFuzzing的技巧")对于XSS的漏洞挖掘过程,其实就是一个使用Payload不断测试和调整再测试的过程,这个过程我们把它叫做Fuzzing;同样是Fuzzing,有些人挖洞比较高效
Stella981 Stella981
3年前
Apache发布更新Commons
很遗憾地告诉大家,本次更新实际上并没有真实地修复该反序列化安全漏洞,仅是增加了安全检查:仅要求配置系统属性,属性名称为“org.apache.commons.collections.enableUnsafeSerialization”,属性值为“true”,否则会抛出UnsupportedOperationException异常。分析过程:
Easter79 Easter79
3年前
Tails 3.15 发布
!Tails3.15发布Tails3.15发布(https://www.linuxprobe.com/wpcontent/uploads/2019/07/20190712002.png)Tails3.15附带了更新的Tor浏览器和Thunderbird,它还修复了几个错误:Tails3.15已经发布。此版本修复了许多安全漏洞。您应该
Wesley13 Wesley13
3年前
MySQL查询区分大小写
问题描述:找出用户名id为’AAMkADExM2M5NjQ2LWUzYzctNDFkMC1h‘的用户的数据:select\fromusertablewhereid'AAMkADExM2M5NjQ2LWUzYzctNDFkMC1h';结果出现两条记录。这就奇怪了,id已经设置为主键,怎么会重复呢?难道是mysql的漏洞。后来发