JavaMelody 是一个用来对 Java 应用进行监控的组件。通过该组件,用户可以对内存、 CPU 、用户 session 甚至 SQL 请求等进行监控,并且该组件提供了一个可视化界面给用户使用。
转载
2023-07-27 16:43:32
112阅读
1.Fastjson 反序列化任意代码执行漏洞Fastjson是一个Java语言编写的高性能功能完善的JSON库。由于其简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。Fastjson Develop Team 于2022年5月23日披露 fastjson 1.2.80及以下版本存在新的反序列化漏洞风险,该利用在特定条件下可绕过默认autoType关
原创
2022-05-25 08:08:48
714阅读
背景几年前在CSDN的C币商城换购过一本《白帽子讲Web安全》,了解过Web网站在渗透测试过程中常见的安全问题。近来,自己开发的Java Web应用中存在一些安全漏洞,被迫要求关注这些安全隐患、并加固。那么本文就顺便整理一下Java Web开发过程中容易忽略的几个安全问题吧,这些问题都能搜到,并且加固方式也不复杂。初学者或者对安全要求不高的开发流程中,很可能被忽略。密码明文传输当年初学Java W
转载
2023-10-26 21:46:48
0阅读
漏洞扫描是跨网络运行彻底扫描的过程,以识别并列出组织中软件、端点、服务器和其他系统中存在的所有安全漏洞和缺陷。漏洞扫描程序是安全团队用来检查其端点是否存在漏洞和各种漏洞的工具。系统管理员可以利用它来扫描所有托管端点,以识别组织中可能存在的任何安全漏洞或威胁,这些漏洞或威胁可能会产生危险的后果。
原创
2022-11-10 15:14:40
554阅读
点赞
最近碰到一个棘手的问题,在已经展开的稳定性测试中。频繁出现Was宕机等问题,于是在征询了研发组意见后。决定 对Was发生宕机前后,进行内存快照。最初的方案是在,Was启动后和发生死机时,使用HeapDump来分析具体程序调用的Java对象。但时间的快照 文件却非常难以分析发生宕机时候内存堆内具体的变化情况。由于,需要准确定位到java虚拟机中堆栈的使用情况
转载
精选
2011-10-12 14:10:13
589阅读
现在有许多消息令我们感到Web的危险性,如《看Web如何摧毁你的企业》和《微软Office安全漏洞 网民即将面临最大威胁》等文章,因此,当前如何构建一个安全的Web环境成为网管员和安全管理员们义不容辞的责任。但是巧妇难为无米之炊,该选择哪些安全工具呢?扫描程序可以在帮助造我们造就安全的Web站点上助一臂之力,也就是说在黑客“黑”你之前,先测试一下自己系统中的漏洞。我们在此推荐10大Web漏洞扫描程
转载
2012-01-16 16:50:00
127阅读
收集整理的各种web漏洞struts2:Inurl:index.actionInurl:商城.actionInurl:index.action 标题:apache struts2Inurl:action?id=site:.com inurl:index.actioninurl:dhis-web-commons利用工具操作,账号密码添加:useradd -u 0 -o -g root -G root
原创
2014-07-24 13:54:31
2414阅读
freebsd一大特色,可以对已经安装的软件包进行审计,确认是否安全。如下pkg auditruby-2.7.3_2,1 is vulnerable: Ruby -- multiple vulnerabilities CVE: CVE-2021-32066 CVE: CVE-2021-31810 CVE: CVE-2021-31799 WWW: https://vuxml.FreeBSD
原创
2022-08-18 09:36:13
86阅读
是在,Was启动后和发生死机时,使用HeapDump来分析具体程序调用的Java对象。但时间的快照文件却非常难以分析发生宕机时候内存堆内具体的变化情况。由于,需要准确定位
转载
2023-09-07 11:23:39
0阅读
简介3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响。影响版本Version >= JDK 9复现步骤本文复现环境为目标机windows10(222)1、 环境搭建a) 安装java9以上环境需要添加环境变量,环
关键字:inurl:pro_show.asp?showid=该程序采用枫叶通用防注入1.0asp版,此防注入完全鸡肋,该类型网站程序pro_show.asp有cookies注入或者变型注入,注入前可以先判断一下字段数:ORdeR By xx注入语句:ANd 1=1 UNiOn SElEcT 1,username,3,4,5,6,7,8,9
原创
2013-08-10 20:46:47
672阅读
点赞
硬件有漏洞、软件有漏洞、协议也有漏洞;连操作系统也有漏洞。
漏洞存在导致的后果是:不法者未经授权的情况下访问或破坏系统。
下边的是漏洞存在的两个方面:
1、WEB程序漏洞攻击与防御。
a、CGI漏洞攻击
1)CGI原理:名字叫公共网关接口。是一个交互的接口。主要的是作
原创
2009-08-12 15:40:23
506阅读
一. 漏洞利用条件
jdk9+
Spring 及其衍生框架
使用tomcat部署spring项目
使用了POJO参数绑定
Spring Framework 5.3.X < 5.3.18 、2.X < 5.2.20 或者其他版本
二. 漏洞分析通过API Introspector. getBeanInfo 可以获取到POJO的基类Object.c
今天是java编写漏洞扫描工具系列一,在整个系列中我将以案例驱动方式进行,从基本的请求,到常规漏洞扫描,Burp插件,调用SQLmap api,整合burp+sqlmap(Web平台),漏洞扫描平台(漏洞平台支持被动主动扫描,插件式集成支持python插件)。我的开发环境为: eclipse + jdk 1.8 在Web端下,基本上就是GET/POST请求,大
转载
2023-07-26 20:13:28
20阅读
靶场考察点1.Jenkis平台的漏洞利用Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成 2.contrab提权在LINUX系统中的/etc/contrab文件存放着系统定时任务, 若该文件的某些定时任务指定由root用户执行, 那么这将是一个可提权点 3.登录爆破使用burpsuite对网站
前言一、认识Java序列化与反序列化1.1 定义1.2 用途1.3 应用场景1.4 API实现1.5 代码实例二、理解的产生三、POC构造3.1TransformedMap3.2 Transformer接口3.3 AnnotationInvocationHandler3.4 代码实例四、分析4.1 引发4.2 原因4.3 根源4.4 思路4.5 挖掘五、修补与防护
转载
2023-07-01 19:24:38
127阅读
目录前言:2、项目配置3、编写“java 反序列化漏洞”后端代码4、编写“java 反序列化漏洞”前端代码5、运行测试 前言:本篇文章在上一篇文章基础上,学习了解 java 反序列化漏洞的基础知识后,现在开始进行漏洞环境的代码实现。 2、项目配置编写 application.propertiesspring.thymeleaf.prefix = classpath:/templates/pom
转载
2023-11-03 20:14:42
0阅读
一、Java反序列化漏洞的挖掘1、黑盒流量分析:在Java反序列化传送的包中,一般有两种传送方式,在TCP报文中,一般二进制流方式传输,在HTTP报文中,则大多以base64传输。因而在流量中有一些特征:(1)TCP:必有aced0005,这个16进制流基本上也意味者java反序列化的开始;(2)HTTP:必有rO0AB,其实这就是aced0005的base64编码的结果;以上意味着存在Java反
戟星安全实验室 忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试、代码审计、应急响应、漏洞研究、威胁情报、安全运维、攻防演练等本文约2950字,阅读约需8分钟。0x00 反序列化有可能产生安全问题的形式1.入口类的readObject 直接调用危险方法 ------基本不可能,一把不会有人会在服务器上重写readOb
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。FireEeye在8月27日发布了一个新的java 0day的一些相关信息,该漏洞影响浏览器的JRE[1.7.x]插件,影响非常大,攻击者可利用该漏洞进行挂马攻击。在捕获的样本中发现使用了Dadong's JSXX 0.44 VIP加密方式。该java程序中包含了以下两个类文件:(-
转载
2023-06-06 08:14:07
126阅读
