JAVA安全网【置顶推荐】JavaWeb安全开发
**SQL注入** SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 漏洞示例: ...
最新发布
Apache Spark存在远程代码执行漏洞(CVE-2020-9480)
简介 2020年6月23日,国家信息安全漏洞共享平台(CNVD)收录了由杭州安恒信息技术股份有限公司报送的Apache Spark远程代码执行漏洞(CNVD-2020-34445,对应CVE-2020-9480)。...
Apache Dubbo Provider默认反序列化远程代码执行漏洞公告(CVE-2020-1948)
简介 Apache Dubbo 是一个分布式服务框架,致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。简单的说,dubbo就是个服务框架,如果没有分布式的需求,其实是不需要用的,只有在分布...
Spring Boot Actuator漏洞相关利用
Spring生态比较好,使用Spring Boot的开发者也比较多,整理了一下Spring Boot相关的漏洞整理。 1.如何识别Spring Boot 访问Web,如果WEB页面的icon是绿色的小树叶,并且页面提...
Fastjson <=1.2.68 全版本远程代码执行漏洞
漏洞描述 FastJSON是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,...
Fastjson 1.2.68 最新版本有限制 autotype bypass
关于漏洞 该漏洞和以往的 autotype bypass 不同,要求 gadget 必须继承自 Throwable 异常类,所以常见的 JNDI gadget 就无法在此处使用。 所以只能找在异常类中的构造方法、se...