安全客 - 安全资讯平台

漏洞分析

探探JDBC反序列化漏洞

漏洞分析

Web安全

Java

jdbc

文章开始，先带大家复现JDBC反序列化漏洞。

苏宇
2021-04-16 14:30:49

298094次阅读 7

SSRF

CVE-2021-27905 Apache Solr SSRF 复现

SSRF

Web安全

Apache Solr

根据补丁以及漏洞描述可以确定 bug 出在当进行 replication 操作时对传入的 masterUrl 参数 Solr 未对其做白名单过滤导致，补丁则是增加了对该参数的过滤。

vsername
2021-04-14 14:30:36

86036次阅读

CTF

JWT jku/x5u Authentication bypass 学习与实践

Authentication bypass

之前对JWT的利用姿势只停留在拿到秘钥后进行身份伪造，前几天Volgactf2021遇到了一道jku的题，发现此前关于jku 权限绕过利用原理与利用手法的文章还是比较少的，趁此机会将这一块好好学一遍，希望对大家有用，欢迎大家批评指正！

greyDr34d
2021-04-12 10:30:48

118017次阅读

Mssql手工注入执行命令小记

本次渗透其实经过了很多的试错最后才达到了这个结果，所以说看似简单的渗透过程其中可能包含了各种各样的难点痛点，而这些难点痛点介于篇幅等其他原因不能一一列举出来，重要的不是结果，而是这个试错的过程，只有不断地试错才能不断的成长。

AirSky
2021-04-08 14:30:19

124555次阅读

Web安全

Xstream反序列化远程代码执行漏洞深入分析

Web安全

Java

Xstream是java中一个使用比较广泛的XML序列化组件，本文以近期Xstream爆出的几个高危RCE漏洞为案例，对Xstream进行分析，同时对POC的构成原理进行讲解。

天融信阿尔法实验室
2021-04-08 12:00:42

66691次阅读

Web安全

SQL注入漏洞详解

Web安全

SQL

SQL注入是因为后台SQL语句拼接了用户的输入，而且Web应用程序对用户输入数据的合法性没有判断和过滤，前端传入后端的参数是攻击者可控的，攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。

谢公子
2021-03-31 18:00:11

497382次阅读 2

Web安全

Fastjson1.2.24反序列化学习

Web安全

fastjson

Fastjson 是一个 Java 库，可以将 Java 对象转换为 JSON 格式，当然它也可以将 JSON 字符串转换为 Java 对象。

星盟安全团队
2021-03-31 16:30:05

224977次阅读 2

Web安全

CVE-2020-14825——WebLogic反序列化

Web安全

Weblogic

反序列化

不安全的反序列化漏洞已成为针对Java Web应用程序的研究者的普遍目标。这些漏洞通常会导致RCE，并且通常不容易完全修补。CVE-2020-14825就属于这一类。

northind
2021-03-29 10:30:17

177569次阅读

Web安全

JDNI注入学习

Web安全

JNDI (Java Naming and Directory Interface) 是一组应用程序接口，它为开发人员查找和访问各种资源提供了统一的通用接口，可以用来定位用户、网络、机器、对象和服务等各种资源。

Crispr
2021-03-18 10:00:06

99379次阅读

Web安全

安全大佬们常用的这【100+代码】，都在这里！

Web安全

渗透

课程

这份网安白宝垫总结了Web安全、渗透测试、工具、横向渗透等四大方向，共计100+网安常用必备代码。

合天网安实验室
2021-03-16 18:33:08

17004次阅读