因为自己搭建的环境存在一些问题,可能是版本过高的原因,(奇奇怪怪的问题,用户没有权限),所以目前仅仅做概念性验证,对漏洞的原理进行分析。
原创
2023-07-25 16:37:13
210阅读
因为自己搭建的环境存在一些问题,可能是版本过高的原因,(奇奇怪怪的问题,用户没有权限),所以目前仅仅做概念性验证,对漏洞的原理进行分析。
原创
2023-07-29 19:22:06
61阅读
第一种方法:先处理掉那些占着连接但是不工作的线程。第二种方法:尽量减少短链接消耗,一种可能的做法,是让数据库跳过权限验证阶段:解决办法:跳过权限验证的方法是:重启数据库,并使用–skip-grant-tables 参数启动。这样,整个 MySQL 会跳过所有的权限验证阶段,包括连接过程和语句执行过程在内。风险极高,是我特别不建议使用的方案。尤其你的库外网可访问的话,就更不能这么做了。在 MySQL
转载
2023-08-09 13:20:33
69阅读
简介Apache Shiro 是 Java 的一个安全(权限)框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。Shiro 可以非常容易的开发出足
Mysql 身份认证绕过漏洞(CVE-2012-2122)当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。受影响版本:MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.2
转载
2023-08-03 20:02:32
0阅读
常见的几种身份验证方法在做项目时,我们常常会对登陆用户的合法性进行判断,接下来我就给大家介绍几中常见的身份验证的方法。1.session校验最先是session校验,这块一般是初学者最先做的一种校验方式,同时也是比较消耗服务器内存的一种方式。✒️流程:客户端发送登陆者的用户名以及密码,服务器接受到用户名和密码。服务器接受到转过来的用户名和密码后,先逻辑判断,假如通过则生成一个session和一个c
0x00 漏洞简述Apache Shiro 1.5.3之前的版本中,当将Apache Shiro与Spring动态控制器一起使用时,精心编制的请求可能会导致绕过身份验证,如果直接访问 /shiro/admin/page ,会返回302跳转要求登录,访问 /;/shiro/admin/page , 就能直接绕过Shiro权限验证,访问到/admin路由中的信息0x01 漏洞影响Apache Shir
前言 当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。 我们可以使用Meterpreter中的模块或者使用特殊的SQL ...
转载
2021-07-25 00:45:00
359阅读
2评论
前言 当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。 我们可以使用Meterpreter中的模块或者使用特殊的SQL ...
转载
2021-07-25 00:45:00
768阅读
2评论
0x01 漏洞描述
VMware Carbon Black Cloud Workload是一种软件即服务(SaaS)解决方案,提供下一代反病毒(NGAV)、端点检测和响应(EDR)、高级威胁搜索和漏洞管理,使用单个传感器在单个控制台中实现。
360漏洞云监测到 VMware Carbon Black App Control 存在身份认证绕过漏洞(CVE-2021-21998)。该漏洞源于处理
转载
2021-07-09 15:12:40
111阅读
0x01 漏洞描述VMware Carbon Black Cloud Workload是一种软件即服务(SaaS)解决方案,
转载
2021-07-09 15:13:16
127阅读
话题 第一时间了解威胁0x01 描述VMware Carbon Black Cloud Workload是一种软件即服务(SaaS)解决方案,提供下一代反病毒(NGAV)、端点检测和响应(EDR)、高级威胁搜索和管理,使用单个传感器在单个控制台中实现。360云监测到 VMware Carbon Black App Control 存在身份认证绕过(CVE-2021-21998)。
转载
2022-02-11 11:03:16
80阅读
前言Apache Shiro 是一个强大且易用的 Java 安全框架,通过它可以执行身份验证、授权、和会话管理。使用 Shiro 的易用 API,您可以快速、轻松地保护任何应用程序 —— 从最小的移动应用程序到最大的 WEB 和企业应用程序。2022年29日,Apache官方披露Apache Shiro权限绕过(CVE-2022-32532),当Apache Shiro中使用Regex
原创
2023-02-27 15:26:27
1106阅读
MYSQL8安全之SSL认证SSL概念MYSQL实现SSL的流程MYSQL配置SSl0、SSL策略1、创建证书2、配置SSL证书检查状态3、配置SSL用户创建用户普通认证方式创建用户强制证书认证设置用户强制证书登录4、SSL登录SSL加密登录方法1;SSL加密登录方法2: SSL概念SSL(Secure Socket Layer: 安全套接字) 利用数据加密,身份验证和消息完整性验证机制,为基于
转载
2023-08-04 17:27:30
0阅读
Apache Superset是一个开源的数据可视化和数据探测平台,它基于Python构建,使用了一些类似于Django和Flask的Python web框架。提供了一个用户友好的界面,可以轻松地创建和共享仪表板、查询和可视化数据,也可以集成到其他应用程序中。
原创
精选
2023-06-20 11:23:07
742阅读
漏洞简介 Apache Superset是一个开源的数据可视化和数据探测平台,它基于Python构建,使用了一些类似于Django和Flask的Python web框架。提供了一个用户友好的界面,可以轻松地创建和共享仪表板、查询和可视化数据,也可以集成到其他应用程序中。由于用户在默认安装过程中,未对SECRET_KEY的默认值进行更改,未经身份验证的攻击者通过伪造管理员身份进行访问后台,并通过后
原创
2023-06-25 11:16:19
112阅读
Apache Superset是一个
原创
2023-06-27 22:30:27
46阅读
Apache Shiro 是一个强大且易用的 Java 安全框架,通过它可以执行身份验证、授权、和会话管理。使用 Shiro 的易用 API,您可以快速、轻松地保护任何应用程序 —— 从最小的移动应用程序到最大的 WEB 和企业应用程序。...
原创
2022-10-17 16:01:59
2504阅读
报告编号:B6-2021-020302报告来源:360CERT报告作者:360CERT更新日期:2021-02-030x01漏洞简述2021年02月03日,360CERT监测发现Apache Shiro发布了Apache Shiro 验证绕过漏洞的风险通告,该漏洞编号为CVE-2020-17523,漏洞等级:中危,漏洞评分:7.0。当Apache Shiro与Spring框架结合使用时,在一定权限匹配规则下,攻击者可通过构造特殊的 HTTP 请求包绕过身份认证。对此,360CERT建议广大用.
转载
2021-06-18 14:20:08
675阅读
报告编号:B6-2021-020302报告作者:360CERT更新日期:2021-02-030x01简述2021年02月03日,360CERT监测发现Apache Shiro发布了Apache Shiro 验证绕过的风险通告,该编号为CVE-2020-17523,等级:中危,评分:7.0。当Apache Shiro与Spring框架结合使用时
转载
2022-02-11 11:22:14
100阅读
