標簽:漏洞

編程技術

我想把電腦學會,但我發現根本學不會怎么辦?

11

yanxinchi 發布于 2019-11-27

小學四年級,我爸把我送去暑期“電腦培訓班”。 那會兒的電腦培訓班就教 DOS、Windows 3.x 的操作。 那時候我對信息技術的各層分工是沒有概念的,總體目標就一個,就是“把電腦學會”,至于學會什么: 誰能說的清楚? 現在總結其實就是學操作系統的使用方法(還有如何使用 WPS...

閱讀(11)評論(0)贊 (0)

編程技術

如何構建應用安全全生命周期解決方案——【DevSecOps】

3

xiaoli.he 發布于 2019-11-27

    作者:杭州孝道科技有限公司 【范丙華】 1.  為何需要建立 DevSecOps? 1.1應用軟件安全風險的影響 面對當前萬物智能互聯、數字經濟高速發展的大環境下,應用軟件安全對于推動我國數字經濟發展、維護社會穩定及國家安全都將起著至關重要的...

閱讀(8)評論(0)贊 (0)

Java

Java代碼非常實用的小技巧

26

尖兵 發布于 2019-11-27

前言 代碼優化 ,一個很重要的課題。可能有些人覺得沒用,一些細小的地方有什么好修改的,改與不改對于代碼的運行效率有什么影響呢?這個問題我是這么考慮的,就像大海里面的鯨魚一樣,它吃一條小蝦米有用嗎?沒用,但是,吃的小蝦米一多之后,鯨魚就被喂飽了。 代碼優化也是一樣,如果項目著眼于盡...

閱讀(10)評論(0)贊 (0)

Java

「漏洞預警」Apache Flink 任意 Jar 包上傳導致遠程代碼執行漏洞復現

5

yanxinchi 發布于 2019-11-27

漏洞描述 Apache Flink是一個用于分布式流和批處理數據的開放源碼平臺。Flink的核心是一個流數據流引擎,它為數據流上的分布式計算提供數據分發、通信和容錯功能。Flink在流引擎之上構建批處理,覆蓋本地迭代支持、托管內存和程序優化。近日有安全研究人員發現apache f...

閱讀(7)評論(0)贊 (0)

Java

Shiro Oracle Padding Attack

5

劉莉莉 發布于 2019-11-26

簡述 自九月 loopx9 在 apache jira 平臺上提交漏洞之后就分析了兩周,從 Padding Oracle Attack 攻擊原理 ,到 shiro 歷史漏洞 SHIRO-550 反序列化利用 ,在有且僅有 有限的消息的情況下 一度認為這是一個假漏洞,直至最后有PO...

閱讀(20)評論(0)贊 (0)

Java

[譯] 10 個你必須知道的 Java 安全最佳實踐

2

zhuangli 發布于 2019-11-25

(給 ImportNew 加星標,提高Java技能) 編譯:ImportNew/唐尤華 snyk.io/blog/10-java-security-best-practices/ 1.用查詢參數化防止注入 在2017版OWASP十大漏洞中,注入攻擊在當年名列前茅。查看典型的Jav...

閱讀(15)評論(0)贊 (0)

Java

Jackson系列六——CVE-2019-12814(基于JDOM XSLTransformer利用鏈)

6

likai 發布于 2019-11-24

該CVE其實是反序列化XXE導致的任意文件讀取漏洞,這里簡單復現分析下這條利用鏈。 0x01 影響版本 Jackson 2.x系列 <2.9.9.1 0x02 限制 需要 JDOM 1.x 或 JDOM 2.x 的依賴支持。 0x03 復現利用 需要的jar:jackson...

閱讀(16)評論(0)贊 (0)

Java

fastjson 1.2.24反序列化導致任意命令執行漏洞分析記錄

29

puefu.he 發布于 2019-11-24

環境搭建: 漏洞影響版本: fastjson在1.2.24以及之前版本存在遠程代碼執行高危安全漏洞 環境地址: https://github.com/vulhub/vulhub/tree/master/fastjson/vuln 正常訪問頁面返回hello,world~ 此時抓包...

閱讀(21)評論(0)贊 (0)

Java

Dubbo 面試題

2

xirruiqiang 發布于 2019-11-23

點擊上方  Java后端 ,選擇  設為星標 優質文章,及時送達 dubbo是什么 dubbo是一個分布式框架,遠程服務調用的分布式框架,其核心部分包含: 集群容錯: 提供基于接口方法的透明遠程過程調用,包括多協議支持,以及軟負載均衡,失敗容錯,地址路由,動態...

閱讀(25)評論(0)贊 (0)

編程技術

“一切即代碼”究竟意味著什么?

20

yanxinchi 發布于 2019-11-23

以代碼驅動的科技世界中,越來越多的場景實現了自動化。在一定程度上,又可以將 基礎設施視為代碼 ,而這一句話該如何理解?其中又將包含哪些設施? 作者 | Mitch Pronschinske 譯者 | 彎月, 責編 | 屠敏 出品 | CSDN(ID:CSDNn...

閱讀(20)評論(0)贊 (0)

Java

Apache Tomcat 8.5.49 發布

2

darida 發布于 2019-11-23

Apache Tomcat 信息泄露漏洞存在于所有版本 CVE(CAN) ID: CVE-2016-8745 更新日期:2017-1-5 重要程度:重要 受影響的版本: Apache Tomcat 9.0.0.M1 to 9.0.0.M13 Apache Tomcat 8.5.0...

閱讀(16)評論(0)贊 (0)

編程技術

不可不知的四大云原生關鍵技術:容器、微服務、服務網格、DevOps

5

wenming.gapo 發布于 2019-11-22

11月21日,“2019云計算沙龍(第三期):云原生與多云管理”主題沙龍活動在上海市徐匯區交大科技園成功召開。此次活動吸引了諸多云計算相關的廠商專家以及業內專業人士積極參與,并就云原生與多云管理進行了積極討論。青藤云安全,作為安全領域踐行自適應安全理念的先行者,積極探索為云原生應...

閱讀(19)評論(0)贊 (0)

Java

fastjason常用方法

1

Harries 發布于 2019-11-22

背景 fastjson爆出重大漏洞,攻擊者可使整個業務癱瘓 漏洞描述 常用JSON組件FastJson存在遠程代碼執行漏洞,攻擊者可通過精心構建的json報文對目標服務器執行任意命令,從而獲得服務器權限。此次爆發的漏洞為以往漏洞中autoType的繞過。 影響范圍 FastJso...

閱讀(16)評論(0)贊 (0)

Java

Java XXE測試用例詳解

yanxinchi 發布于 2019-11-21

?標題 Java XXE測試用例詳解 創建: 2019-11-21 15:42 更新: 鏈接: http://scz.617.cn:8/misc/201911211542.txt https://www.t00ls.net/thread-53947-1-1.html —...

閱讀(18)評論(0)贊 (0)

編程技術

在技術洪流中看到我們的態度,第21期技術雷達正式發布!

5

xubiao.zhuang 發布于 2019-11-21

技術雷達是ThoughtWorks每半年發布一期的技術趨勢報告,它不僅是一份持續的技術成熟度評估,其產生還源于ThoughtWorks另一個更大宏大的使命—IT革命。我們一直深信,IT行業從定位、價值、實踐和技術都會發生巨大的變革。然而任何宏觀的變革,都會有一些微小的信號,我們需...

閱讀(31)評論(0)贊 (0)

Java

Apache Flink任意Jar包上傳漏洞復現

14

darida 發布于 2019-11-21

0×01前言 周三的時候,安全網站上看到有一個新爆出的關于Aapche Flink的JAR包上傳導致任意代碼執行的漏洞。周四在看的時候已經出了一部分POC和抓取相關漏洞機器的代碼,放在編譯器里跑了一下好像不行。最后在周五的時候找了相關Apache環境復現一下這個漏洞。...

閱讀(19)評論(0)贊 (0)

Java

Java反序列化過程深究

5

鄧龍華 發布于 2019-11-20

互聯網上大家針對Java反序列化的討論有很多了,但是這里我還是想聊聊,這里僅僅記錄一下自己的學習筆記,之前我在Java 反序列化深究中討論了為什么,通過重寫 readObject 方法會導致反序列化的問題,當然后續整個過程我們也沒繼續,當然現在繼續回來討論這個事情。 0x02 反...

閱讀(18)評論(0)贊 (0)

Java

Java反序列化利用鏈分析之Shiro反序列化

12

yeseng 發布于 2019-11-20

0x00 前言 在跟了一遍commons-collections系列的payload后,終于可以開始解決一下當時對shiro反序列化模凌兩可的認識了。 當前,不管是國內實際的xx行動還是ctf比賽,shiro反序列化會經常看到。但在實際利用這個漏洞的時候,會發現我們無法在tomc...

閱讀(25)評論(0)贊 (0)

2013平特肖公式