ElasticSearch漏洞漏洞代码:CVE-2014-3120命令执行CVE-2015-3337目录穿越CVE-2014-3120命令执行漏洞环境下载:https://github.com/vulhub/vulhub/tree/master/elasticsearch启动:docker-composebuilddocker-composeup-dCVE-2015-3337目录穿越在安装了具有“
分类:
数据库 时间:
2019-07-26 10:40:49
阅读次数:
131
距离上次gitlab升级快过去一年了,期间gitlab已更新了好多新版本,都没有进行升级。理由很简单,因为升级很麻烦,秉着能用就先用着的想法。但是最近gitlab接连发出之前旧版本有安全漏洞,看到的公告是:《GitLab 叕发布安全补丁 12.0.3, 11.11.5 和 11.10.8,请即刻升级 ...
分类:
其他好文 时间:
2019-07-25 00:36:08
阅读次数:
119
近日,Mimecast 威胁中心的安全研究人员,发现了微软 Excel 电子表格应用程序的一个新漏洞,获致 1.2 亿用户易受网络攻击。其指出,该安全漏洞意味着攻击者可以利用 Excel 的 Power Query 查询工具,在电子表格上启用远程动态数据交换(DDE),并控制有效负载。此外,Powe ...
分类:
其他好文 时间:
2019-07-21 23:47:04
阅读次数:
117
1.漏洞介绍:ApacheActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务,集群,SpringFramework等。ApacheActiveMQ5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程***者可借助特制的序列化的Java消息服务(JMS)ObjectMessage对象利用该漏洞执行任意代码。2
分类:
其他好文 时间:
2019-07-16 15:26:22
阅读次数:
549
博客地址:https://blog.51cto.com/13637423如期而至,7月,微软发布了SharePointServer不同版本的安全更新:修复了WindowsCommunicationFoundation(WCF)和WindowsIdentityFoundation(WIF)中允许使用任意对称密钥签署SAMLToken的AuthenticationBypass的漏洞。CVE-2019-
分类:
其他好文 时间:
2019-07-15 17:21:22
阅读次数:
112
先说一下SQL注入的概念,这里引用百度上的解释:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意) ...
分类:
数据库 时间:
2019-07-11 17:36:08
阅读次数:
291
虽然说Struts2现在已经被SpringMVC框架淘汰了,据说是有很多安全漏洞。但是Struts2作为一个成熟的MVC框架,还是有必要了解一下的,好歹是曾经风光一时的前辈,老祖宗的东西不能丢下,里面有很多设计思想都是值得借鉴的。 哈哈哈,前面说的话逼格是不是很高,连我自己都不信。其实是因为最近在维 ...
分类:
其他好文 时间:
2019-07-09 09:20:13
阅读次数:
98
一,XSS XSS攻击全称跨站脚本攻击,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 常见的 XSS 攻击有三种: DOM-based 型、反射型、存储型。 其中: 反射型、DOM-based 型可以归类为非持久型 XSS 攻击。 存储型归 ...
分类:
其他好文 时间:
2019-07-08 00:19:40
阅读次数:
104
本文仅供个人参考学习,如做商业用途,请购买正版,谢谢! 介绍 AppScan是IBM公司出的一款Web应用安全测试工具,采用黑盒测试的方式,可以扫描常见的web应用安全漏洞。其工作原理,首先是根据起始页爬取站下所有可见的页面,同时测试常见的管理后台;获得所有页面之后利用SQL注入原理进行测试是否存在 ...
分类:
移动开发 时间:
2019-07-03 10:27:21
阅读次数:
188
一、XSSXSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。 跨站脚本攻击有可能造成以下影响: 利用虚假输入表单骗取 ...
分类:
Web程序 时间:
2019-06-29 12:52:09
阅读次数:
104
