CVE-2017-5645 CVE-2019-17571 ...

2021年12月10日 0x01漏洞背景 Apache Log4j 是 Apache 的一個開源項目，Apache Log4j2是一個基於Java的日志記錄工具。該工具重寫了Log4j框架，並且引入了大量豐富的特性。我們可以控制日志信息輸送的目的地為控制台、文件、GUI組件 ...

2021年最后一個月爆出了Log4j的安全漏洞。 CVE 編號為 CVE-2021-44228 ， 攻擊原理為利用 log4j的 lookups 功能，結合 java 的 RMI （java遠程調用）可以使被攻擊對象執行攻擊者的RMI服務器上的一段Java代碼。 因為Log4j被廣泛應用 ...

jira Ueditor uchome Edge 大華攝像頭 Exim郵件服務器 DeleGate ...

概念 RMI（Remote Method Invocation） 即Java遠程方法調用，一種用於實現遠程過程調用的應用程序編程接口 JNDI (Java Naming and Directory ...

常見軟件安全性漏洞主要有：XSS，CSRF，cookie和http頭篡改，sql注入，非法輸入攻擊，身份驗證漏洞，敏感數據泄露，日志不全，非法用戶鑒別等。 1、XSS：互聯網常見的攻擊手段，常見的腳本注入攻擊，如在留言中加入一段js腳本，導致整個頁面被破壞。防御手段可以在接收請求的時候，把一些 ...

Java安全之log4j反序列化漏洞分析 0x00 前言 前段時間在看某個cms代碼的時候，發現log4j組件版本存在漏洞，並且開啟了端口，但web站點是nginx反向代理的，而在外網並沒有開放到該端口，所以並沒有利用成功。但該漏洞遇到的比較少，就算一些cms中log4j組件版本存在漏洞 ...

軟件安全策略 @author：alkaid 生命以負熵為食 —— 《生命是什么》薛定諤 背景 我想作為一個信息安全從業者，無論是在滲透測試、代碼審計亦或是其他安全服務中都會接觸到各種各樣的漏洞。把這些漏洞進行簡單分類可能能夠得到幾十類漏洞，當然幾乎所有的漏洞類型在common ...