開源界最近很熱鬧啊，各個主流軟件或框架漏洞頻發，比如像 Struts2、FastJSON、Dubbo、Redis、Tomcat 等都存在各種各樣的漏洞。 不要使用含有漏洞的組件每次也都被評為 OWASP 10 大安全漏洞之一。 光這半年以來，棧長知道的，通過公眾號Java技術棧發布的就有 ...

fastjson近日曝出代碼執行漏洞，惡意用戶可利用此漏洞進行遠程代碼執行，入侵服務器，漏洞評級為“高危”。基本介紹fastjson 是一個性能很好的 Java 語言實現的 JSON 解析器和生成器，來自阿里巴巴的工程師開發。漏洞介紹fastjson在1.2.24以及之前版本近日曝出代碼執行漏洞 ...

昨天，群里聊嗨了。大家都在遠程辦公，卻都急急忙忙的升級線上的 Tomcat 版本，原因就是 Tomcat 被曝出了嚴重的漏洞，幾乎涉及到所有的版本。 一、漏洞原理具體來說就是 Apache Tomcat 服務器存在文件包含漏洞，攻擊者可利用該漏洞讀取或包含 Tomcat 上所有 webapp ...

一、漏洞復現： BurpSuite抓包，發送一個PUT的請求，數據包為冰蠍的馬 如果存在該漏洞，Response的狀態碼為201 直接訪問該文件，可以看到jsp馬已經存在了 使用冰蠍進行連接，獲取系統的權限 二、漏洞原因： 在tomcat/conf ...

關於Apache Tomcat存在文件包含漏洞的安全公告 2020年1月6日，國家信息安全漏洞共享平台（CNVD）收錄了由北京長亭科技有限公司發現並報送的Apache Tomcat文件包含漏洞（CNVD-2020-10487，對應CVE-2020-1938）。攻擊者利用該漏洞，可在未授權的情況下 ...

一、漏洞公告 2020年2月4日，Apache Tomcat官方發布了新的版本，該版本修復了一個影響所有版本（7.*、8.*、9.*）的文件包含漏洞，但官方暫未發布安全公告，2020年2月20日，CNVD發布了漏洞公告，對應漏洞編號：CNVD-2020-10487，漏洞公告鏈接：https ...

window漏洞命名規則： CVE→國際漏洞庫編號 格式：CVE-年份-編號 MS→微軟漏洞庫編號 格式：MS年-編號 windows常見漏洞： 這里不全，僅僅例出自己測試過的一些漏洞。了解漏洞的目的是為了防止我們的服務自身存在漏洞被不法分子利用，而非為了成為不法分子！小惡魔門請 ...

前言 JBoss是一個基於J2EE的開放源代碼應用服務器，代碼遵循LGPL許可，可以在任何商業應用中免費使用；JBoss也是一個管理EJB的容器和服務器，支持EJB 1.1、EJB 2.0和EJB3規范。但JBoss核心服務不包括支持servlet/JSP的WEB容器，一般與Tomcat ...