mon0dy
Log4j2漏洞背后是全球软件供应链风险面临失控
Log4j2作为java代码项目中广泛使用的开源日志组件,它的一个严重安全漏洞对于全球的软件供应链生态来讲不亚于一场新冠病毒的影响,任何企业的代码项目沾上它都有可能给企业带来致命的安全风险。
- 0
- 0
- 奇安信攻防社区
- 发布于 2021-12-13 19:56:10
- 阅读 ( 7625 )
奇安信攻防社区
Log4jRCE漏洞分析
2021年12月9日注定是个不平凡的日子,整个安全圈就像过年了一样,Log4j爆出了RCE漏洞,比之前Shiro、S2还要劲爆,堪称核弹级漏洞,百度、游戏我的世界、AirPods等相继沦陷,严重程度紧急程度不言而喻。这么严重的漏洞是如何产生的呢?
- 3
- 0
- 苏苏的五彩棒
- 发布于 2021-12-15 11:13:53
- 阅读 ( 13974 )
苏苏的五彩棒
Log4j 2.x < 2.15.0 反序列化漏洞分析(含排查措施和修复建议)
# 漏洞简述 Log4j 2系列 < 2.15.0版本中存在反序列化漏洞。 奇安信代码安全实验室分析发现该组件存在Java JNDI注入漏洞。程序将用户输入的数据进行日志,即可触发此漏洞;成功利用此漏洞的...
- 1
- 0
- 26号院
- 发布于 2021-12-15 11:13:45
- 阅读 ( 9085 )
26号院
Log4j2 研究之lookup
Lookups provide a way to add values to the Log4j configuration at arbitrary places. They are a particular type of Plugin that implements the StrLookup interface.
- 0
- 0
- 26号院
- 发布于 2021-12-10 10:53:17
- 阅读 ( 9460 )
关于抓取明文密码的探究
# 基础知识 SSP(Security Support Provider)是windows操作系统安全机制的提供者。简单的说,SSP就是DLL文件,主要用于windows操作系统的身份认证功能,例如NTLM、Kerberos、Negotiate...
- 2
- 0
- szbuffer
- 发布于 2021-12-07 10:09:50
- 阅读 ( 10741 )
szbuffer
CVE-2021-43527 Mozilla加密库NSS存在一个简单却很严重的缓存溢出漏洞
Mozilla加密库NSS存在一个简单却很严重的缓存溢出漏洞,NSS 是一个类似OpenSSL的密码学库,由Mozilla公司开发维护,广泛应用于Firefox 、Thunderbird、LibreOffice等一些常用的软件当中。
- 0
- 0
- 午言
- 发布于 2021-12-08 09:47:42
- 阅读 ( 7100 )
Wordpress敏感信息泄漏漏洞 CVE-2021-38314 代码审计
WordPress Redux Framework class-redux-helpers.php 敏感信息泄漏漏洞 CVE-2021-38314 | 代码审计复现
- 1
- 0
- PeiQi
- 发布于 2021-12-03 09:51:54
- 阅读 ( 10928 )
PeiQi
damicms6.0审计
干完活回来被隔离,周末只能学习了,也就有了这篇文章,可能这个CMS选的不是特别好,第一个洞分析的不是很nice,但是很尽力了...
- 1
- 0
- joker
- 发布于 2021-12-01 11:15:58
- 阅读 ( 8410 )
Microsoft CVE-2021-40449漏洞分析与利用
该漏洞与Windows窗口管理和图形化设备接口相关(Win32kfull.sys),通过该漏洞可以让普通权限用户提权到system权限。
- 0
- 0
- 极光无限
- 发布于 2021-11-30 09:48:35
- 阅读 ( 6911 )
极光无限
浅谈JSP Webshell进阶免杀
基于各种代码混淆手段实现的JSP Webshell进阶免杀,实际的免杀效果不一定好,不过是一种思路
- 6
- 0
- 4ra1n
- 发布于 2021-11-29 09:43:52
- 阅读 ( 11128 )
4ra1n
探索Filter型Tomcat内存马的免杀
一种内存马的免杀思路:如果防御人员对后端业务逻辑和代码没有比较深入的掌握情况下是无法查出内存马的
- 2
- 0
- 4ra1n
- 发布于 2021-11-26 09:32:39
- 阅读 ( 8437 )
详解Java自动代码审计工具实现
基于GadgetInspecror原理实现的自动代码审计工具,实现了可控参数判断和数据流分析等难点
- 3
- 0
- 4ra1n
- 发布于 2021-11-25 09:41:14
- 阅读 ( 8457 )
wuzhiCMS audit
wuzhicms,之前就听过,Github上有issue了,一个任意文件删除漏洞,那就拉一下源码来审计一下子。
- 0
- 0
- joker
- 发布于 2021-11-26 09:31:55
- 阅读 ( 8762 )
Apache Skywalking 远程代码执行漏洞(CVE-2020-13921、CVE-2020-9483)
# 一、环境: 1、https://www.anquanke.com/post/id/231753 (参考文章地址) 2、https://www.apache.org/dyn/closer.cgi/skywalking/8.3.0/apache-skywalking-apm-8.3.0.tar.gz(下载地址) 3、...
- 0
- 0
- 菜菜子
- 发布于 2021-11-26 09:32:08
- 阅读 ( 9508 )
普通EL表达式命令回显的简单研究
EL表达式多用于JSP,官方给出的El表达式的example: https://javaee.github.io/tutorial/jsf-el007.html 可以发现,EL表达式支持基础的计算和函数调用。并且在EL表达式中还提供隐式对象以便...
- 0
- 0
- Xiaopan233
- 发布于 2021-11-18 09:38:53
- 阅读 ( 11928 )
Xiaopan233