CVE-2017-5645 CVE-2019-17571 ...

2021年12月10日 0x01漏洞背景 Apache Log4j 是 Apache 的一个开源项目，Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架，并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件 ...

2021年最后一个月爆出了Log4j的安全漏洞。 CVE 编号为 CVE-2021-44228 ， 攻击原理为利用 log4j的 lookups 功能，结合 java 的 RMI （java远程调用）可以使被攻击对象执行攻击者的RMI服务器上的一段Java代码。 因为Log4j被广泛应用 ...

jira Ueditor uchome Edge 大华摄像头 Exim邮件服务器 DeleGate ...

概念 RMI（Remote Method Invocation） 即Java远程方法调用，一种用于实现远程过程调用的应用程序编程接口 JNDI (Java Naming and Directory ...

常见软件安全性漏洞主要有：XSS，CSRF，cookie和http头篡改，sql注入，非法输入攻击，身份验证漏洞，敏感数据泄露，日志不全，非法用户鉴别等。 1、XSS：互联网常见的攻击手段，常见的脚本注入攻击，如在留言中加入一段js脚本，导致整个页面被破坏。防御手段可以在接收请求的时候，把一些 ...

Java安全之log4j反序列化漏洞分析 0x00 前言 前段时间在看某个cms代码的时候，发现log4j组件版本存在漏洞，并且开启了端口，但web站点是nginx反向代理的，而在外网并没有开放到该端口，所以并没有利用成功。但该漏洞遇到的比较少，就算一些cms中log4j组件版本存在漏洞 ...

软件安全策略 @author：alkaid 生命以负熵为食 —— 《生命是什么》薛定谔 背景 我想作为一个信息安全从业者，无论是在渗透测试、代码审计亦或是其他安全服务中都会接触到各种各样的漏洞。把这些漏洞进行简单分类可能能够得到几十类漏洞，当然几乎所有的漏洞类型在common ...