JAVA安全网
Fastjson 1.2.68 最新版本有限制 autotype bypass
关于漏洞 该漏洞和以往的 autotype bypass 不同,要求 gadget 必须继承自 Throwable 异常类,所以常见的 JNDI gadget 就无法在此处使用。 所以只能找在异常类中的构造方法、se...
漏洞分析
shiro权限绕过漏洞分析(CVE-2020-1957)
Author:spoock 环境搭建 根据 Spring Boot 整合 Shiro ,两种方式全总结!。我配置的权限如下所示: @Bean ShiroFilterFactoryBean shiroFilterFac...
Shiro RememberMe 1.2.4 反序列化导致的命令执行漏洞
rungobier (知道创宇404安全实验室) 概述 Apache Shiro 在 Java 的权限及安全验证框架中占用重要的一席之地,在它编号为550的 issue 中爆出严重的 Java 反序列化漏洞。下面,我...
代码审计-dubbo admin <=2.6.1远程命令执行漏洞
Author: Ramos 欢迎更多javaer投稿,让更多的人学习。 前置 输入材料 安全目标和需求 架构分析 供应链安全 源代码审查 依赖结构矩阵(Dependency Structure Matrice...
[CVE-2018-3245&3252]Oracle WebLogic Two RCE Deserialization Vulnerabilities
Author: Zhiyi Zhang of 360 ESG Codesafe Team 前言 Oracle 官方在7月份发布关键补丁更新之后,我在当月随后陆续提交了一些weblogic的不同类型漏洞,由于官方并 ...