安全客
2020年8月13日虽然近几年来关于ONGL方面的漏洞已经不多了,但是毕竟是经典系列的RCE漏洞,还是有必要分析的。而且对于Struts2和OGNL了解也有助于代码审计和漏洞挖掘。
CVE-2020-4450 中的漏洞利用链其中一个要点就是利用其动态调用 java 的特性,绕过对调用方法的限制。
近期公布的关于 Weblogic 的反序列化RCE漏洞 CVE-2020-14645,是对 CVE-2020-2883的补丁进行绕过。
本文基于互联网公开的 POC 进行复现、分析,最终实现无任何限制的 defineClass + 实例化,进行实现 RCE。
Vulfocus 是一个漏洞集成平台,将漏洞环境 docker 镜像,放入即可使用,开箱即用。
本周三,5 亿华住个人信息泄露案犯罪嫌疑人已被抓获,本以为华住数据泄露事件就此告一段落。但就在昨天,白帽汇安全研究院关注到,暗网论坛中再现售卖华住酒店数据的帖子。
勋章成就
稿费总计 0
发表文章 6
参与讨论 0
关注
1
粉丝
6