Apache Log4j 漏洞分析 仅用于研究漏洞原理,禁止用于非法用途,后果自负!!! CVE-2019-17571 漏洞描述 Log4j是美国阿帕奇（Apache）软件基金会的一款基于Java的开源日志记录工具。Log4j 1.2版本中包含一个SocketServer类，在未经 ...

https://www.openwall.com/lists/oss-security/2019/12/19/2 漏洞在SocketServer类里 下载Log4j的jar包。我选择了1.2.14版本。 全局搜到SocketServer ...

0x00 漏洞背景 ①iiDubbo是一款高性能、轻量1级的开源java Rpc分布式服务框架。 ②核心功能： ◉ 面向接口的远程过程调用 ◉ 集群容错和负载均衡 ◉ 服务自动注册与发现 ③特点： ◉ 使用分层的架构模式，使得各个层次之间实现最大限度的解耦。 ◉ 将服务抽象为服务提供者 ...

消费者远程调用的POST请求并执行一个反序列化的操作。由于此步骤没有任何安全校验，因此可以造成反序列化执行 ...

漏洞原理 Apache Shiro 是 Java 的一个安全框架，可以帮助我们完成：认证、授权、加密、会话管理、与 Web 集成、缓存等功能，应用十分广泛。 Shiro最有名的漏洞就是反序列化漏洞了，加密的用户信息序列化后存储在名为remember-me的Cookie中，攻击者使用Shiro ...

01漏洞描述 — Apache Dubbo支持多种协议,官方推荐使用Dubbo协议.Apache Dubbo HTTP协议中的一个反序列化漏洞（CVE-2019-17564）,该漏洞的主要原因在于当Apache Dubbo启用HTTP协议之后，Apache Dubbo对消 ...

0x01影响范围 Apache OFBiz < 17.12.06 0x02漏洞复现步骤 ysoserial生成URLDNS利用链 Encode得到的dns.ot encode脚本 打POC POC DNSLOG回显 ...

一、实验简介 实验所属系列： 系统安全 实验对象：本科/专科信息安全专业 相关课程及专业： 计算机网络 实验时数（学分）：2 学时 实验类别： 实践实验类 二、实验目的 Apache Dubbo是一款高性能、轻量级的开源Java RPC框架，它提供了三大核心能力 ...