Apache Log4j 漏洞分析 僅用於研究漏洞原理,禁止用於非法用途,后果自負!!! CVE-2019-17571 漏洞描述 Log4j是美國阿帕奇（Apache）軟件基金會的一款基於Java的開源日志記錄工具。Log4j 1.2版本中包含一個SocketServer類，在未經 ...

https://www.openwall.com/lists/oss-security/2019/12/19/2 漏洞在SocketServer類里 下載Log4j的jar包。我選擇了1.2.14版本。 全局搜到SocketServer ...

0x00 漏洞背景 ①iiDubbo是一款高性能、輕量1級的開源java Rpc分布式服務框架。 ②核心功能： ◉ 面向接口的遠程過程調用 ◉ 集群容錯和負載均衡 ◉ 服務自動注冊與發現 ③特點： ◉ 使用分層的架構模式，使得各個層次之間實現最大限度的解耦。 ◉ 將服務抽象為服務提供者 ...

消費者遠程調用的POST請求並執行一個反序列化的操作。由於此步驟沒有任何安全校驗，因此可以造成反序列化執行 ...

漏洞原理 Apache Shiro 是 Java 的一個安全框架，可以幫助我們完成：認證、授權、加密、會話管理、與 Web 集成、緩存等功能，應用十分廣泛。 Shiro最有名的漏洞就是反序列化漏洞了，加密的用戶信息序列化后存儲在名為remember-me的Cookie中，攻擊者使用Shiro ...

01漏洞描述 — Apache Dubbo支持多種協議,官方推薦使用Dubbo協議.Apache Dubbo HTTP協議中的一個反序列化漏洞（CVE-2019-17564）,該漏洞的主要原因在於當Apache Dubbo啟用HTTP協議之后，Apache Dubbo對消 ...

0x01影響范圍 Apache OFBiz < 17.12.06 0x02漏洞復現步驟 ysoserial生成URLDNS利用鏈 Encode得到的dns.ot encode腳本 打POC POC DNSLOG回顯 ...

一、實驗簡介 實驗所屬系列： 系統安全 實驗對象：本科/專科信息安全專業 相關課程及專業： 計算機網絡 實驗時數（學分）：2 學時 實驗類別： 實踐實驗類 二、實驗目的 Apache Dubbo是一款高性能、輕量級的開源Java RPC框架，它提供了三大核心能力 ...