前言阿里云安全公告:2019年7月31日,阿里云应急响应中心监测到有安全研究人员披露Jackson最新反序列化远程代码执行漏洞(CVE-2019-14361和CVE-2019-14439)。同事说怎么jackson这类的json序列化库经常报漏洞,而且基本都是高危漏洞,这些漏洞到底怎么来的,jackson的开发程序员就这么不靠谱么?改不完的BUG?这篇文章就让我们走进jackson的世界,感受它的
转载
2024-05-31 00:29:43
31阅读
现在有许多消息令我们感到Web的危险性,因此,当前如何构建一个安全的Web环境成为网管员和安全管理员们义不容辞的责任。但是巧妇难为无米之炊,该选择哪些安全工具呢?扫描程序可以在帮助造我们造就安全的Web站点上助一臂之力,也就是说在黑客“黑”你之前,先测试一下自己系统中的漏洞。我们在此推荐,供您参考。
1. Nikto
这是一个开源的Web服务器扫描程序,它可以对Web服
转载
精选
2012-03-27 14:11:34
611阅读
Web scan tool推荐10大Web扫描程序Nikto这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250多个服务器上的版本特定问题)进行全面的测试。其扫描项目和插件经常更新并且可以自动更新(如果需要的话)。
Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显。不过,
转载
2024-01-26 21:22:58
161阅读
Internet的开放性使得Web系统面临入侵攻击的威胁,而建立一个安全的Web系统一直是人们的目标。一个实用的方法是,建立比较容易实现的相对安全的系统,同时按照一定的安全策略建立相应的安全辅助系统,漏洞扫描器就是这样一类安全辅助系统。
漏洞扫描就是对计算机系统或者其他网络设备进行安全相关的检测,以找出安全隐患和可被黑客利用的漏洞。作为一种保证Web信息系统和网络安全必不可少的手段,我们有必要
转载
2023-12-14 13:16:19
94阅读
# Java漏洞检测教程
## 概述
在进行Java漏洞检测时,我们需要先了解整个流程,然后逐步进行实践。首先,我们需要明确漏洞检测的目的是为了找出程序中可能存在的安全问题,进而修复它们。
## 流程步骤
| 步骤 | 描述 |
| ---- | ---- |
| 1 | 寻找目标程序 |
| 2 | 分析目标程序 |
| 3 | 编写漏洞检测代码 |
| 4 | 运行漏洞检测代码 |
|
原创
2024-06-15 06:18:36
28阅读
1. 注入漏洞1.1 SQL注入漏洞1.2 XSS漏洞1.3 命令注入漏洞1.4 HTTP响应头注入漏洞1.5 跳转漏洞1.6 XML注入漏洞2. 信息泄漏漏洞2.1 PHPInfo()信息泄漏漏洞2.2 测试页面泄漏在外网漏洞2.3 备份文件泄漏在外网漏洞2.4 版本管理工具文件信息泄漏漏洞2.5 HTTP认证泄漏漏洞2.6 管理后台泄漏漏洞2.7 泄漏员工电子邮箱漏洞以及分机号码2.8 错误详
原创
2015-07-22 11:35:10
3503阅读
web编程常见漏洞与检测.rar
转载
精选
2008-11-03 15:48:23
718阅读
背景:当时项目没用什么框架,过滤器,请求限制等都需要自己手写。1、请求加时间戳 在后台过滤器中可以加判断,如果请求时间戳与服务器时间相差太大,可以返回异常,具体情况可以具体使用。 请求中加时间戳的示例如下: ①form表单提交,在表单内加隐藏域,通过js代码给id赋值。<input id="curdate" name="curdate" type="hidden" />
$("#
转载
2023-07-31 20:36:27
14阅读
1.ActiveMQ 反序列化漏洞(CVE-2015-5254)
ref:https://www.nanoxika.com/?p=408 Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。 Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有
Java反序列化漏洞学习—Apache Commons Collections第一次接触Java安全~~~~Apache Commons Collections是Apache Commons的组件,该漏洞的问题主要出现在org.apache.commons.collections.Transformer接口上。在Apache commons.collections中有一个InvokerTransf
转载
2023-10-11 15:17:08
36阅读
本文已发表在专家专栏:[url]http://netsecurity.51cto.com/art/200712/62159.htm[/url] 【51CTO.com 独家特稿】随着信息技术的发展,网络应用越来越广泛,很多企业单位都依靠网站来运营,正因为业务的不断提升和应用,致使网站的安全性显得越来越重要。另一 方面,网络上的黑客也越来越多,而且在利益驱使下,很多黑客对网站发起攻击,并以此...
原创
2023-04-26 13:23:33
1040阅读
web开发应用程序(网站),是目前应用最广泛的程序。但是开发者的水平参差不齐,导致了各种各样web漏洞的出现。本文站在分层架构的角度,分析一下如何在java web程序中找到可能出现的种种漏洞。
本文讨论的只是web程序上的漏洞,和其它漏洞,是相对独立的。这句话看似废话
转载
2024-08-12 13:51:26
20阅读
文章目录前言Weblogic漏洞复现Weblogic 文件读取Weblogic 任意文件上传(CVE-2018-2894)漏洞概述漏洞复现Weblogic 管理控制台未授权远程命令执行漏洞(CVE-2020-14882,CVE-2020-14883)漏洞概述漏洞复现Weblogic SSRF漏洞(CVE-2014-4210)漏洞描述漏洞复现Weblogic < 10.3.6 'wls-ws
转载
2024-04-15 10:24:50
74阅读
跨站脚本攻击漏洞描述:目标存在跨站脚本攻击。1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的
转载
精选
2014-05-04 14:37:32
889阅读
Web 服务安全简介
Web 服务技术实现了应用程序之间的跨平台、跨编程语言通信,其最基本的组成部分为服务的提供者(Service Provider)和服务的请求者(Service Requester)。两者通过基于标准的 XML 格式的协议进行通信的,这种最常用的协议就是 SOAP(Simple Object Access Protocol)。按照 Web 服务的相关标准描述,
转载
2012-06-08 10:51:38
1324阅读
做web开发,我们经常会做代码走查,很多时候,我们都会抽查一些核心功能,或者常会出现漏洞的逻辑。随着技术团队的壮大,组员技术日益成熟。 常见傻瓜型SQL注入漏洞、以及XSS漏洞。会越来越少,但是我们也会发现一些新兴的隐蔽性漏洞偶尔会出现。这些漏洞更多来自开发人员,对一个函数、常见模块功能设计不足,遗留下的问题。以前我们能够完成一些功能模块,现在要求是要安全正确方法完成模块才行。 接下来,我会分享一
转载
精选
2015-04-26 15:58:21
464阅读
0x01 漏洞基本信息漏洞名称:Tomcat AJP协议漏洞CVE编号:CVE-2020-1938漏洞简介:2020年2月4日,Apache Tomcat官方发布了新的版本,该版本修复了一个影响所有版本(7.*、8.*、9.*)的文件包含漏洞,但官方暂未发布安全公告,2020年2月20日,CNVD发布了漏洞公告,对应漏洞编号:CNVD-2020-10487。漏洞是Tomcat AJP协议存在缺陷而
转载
2024-05-20 14:38:17
53阅读
做web开发,我们经常会做代码走查,很多时候,我们都会抽查一些核心功能,或者常会出现漏洞的逻辑。随着技术团队的壮大,组员技术日益成熟。 常见傻瓜型SQL注入漏洞、以及XSS漏洞。会越来越少,但是我们也会发现一些新兴的隐蔽性漏洞偶尔会出现。这些漏洞,跟多来自开发人员,对一个函数、常见模块功能设计不足,遗留下的问题。以前我们能够完成一些功能模块,现在要求是要安全正确方法完成模块才行。 接下来,我会分享
转载
精选
2013-06-06 23:23:12
685阅读
0x01 前言上一章介绍了rmi的基本概念,以及浅显的提了一下rmi的利用点。这一章将结合具体的代码与实践来讲解攻击rmi的方式。0x02 利用反序列化攻击RMI这也是我们在上文中提到的攻击方式,这个攻击有两个前提:rmi服务端提供了接收Object类型参数的远程方法rmi服务器的lib或着说classpath中有存在pop利用链的jar包,例如3.1版本的commons-collections.
转载
2024-08-12 18:56:41
35阅读
十大Web漏洞扫描工具Acunetix Web Vulnerability Scanner[( 简称AwVS )AwVS是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。 a)、自动的客户端脚本分析器,允许对Ajax和Web 2.0应用程序进行安全性测试 b)、业内最先进且深入的SQL 注入和跨站脚本测试 c)、高级渗透测试工具,例如HTTP Editor 和H
转载
2024-01-02 11:00:07
52阅读
