29 天前 / u561252
程序员的成长之路互联网 / 程序员 / 技术 / 资料共享关注 阅读本文大概需要 2.8 分钟。 来源: Alibaba Fastjson Develop Team github.com/alibaba/fastjson/wiki/security_update_20220523 近日 Fastjson Develop Team 发现 fastjson 1.2.80 及以下存在新的风险,请关注。1. 风险描述 fastjson 已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 fastjson 用户尽快采取安全措施保障系统安全。
35 天前 / gyreg
01 漏洞概况 近日,微步情报局捕获 Fastjson1.2.80 反序列化漏洞情报,攻击者可以利用该漏洞攻击远程服务器, 可能会造成任意命令执行。Fastjson 是一个 Java 库,可用于将 Java 对象转换为其 JSON 字符串表示形式, 还可用于将 JSON 字符串转换为等效的 Java 对象。漏洞复现:此次受影响版本如下: Fastjson 是否受影响≤1.2.80 是 02 漏洞评估 公开程度:未发现在野利用利用条件:无权限要求交互要求:0 Click 漏洞危害:高危、任意命令执行影响范围:Fastjson ≤1.2.80 03 修复方案 三种修复方案根据业务选择任一合适方案即可:1.建议升级到最新版本 1....
92 天前 / gyreg
供应链安全—组件漏洞和合规治理继上上周在公司内部做完 Azure DevSecOps 技术分享之后,突然发现组件漏洞的治理这一部分内容,对各大企业或厂商来说,业界有很多可圈可点的落地实践。当然,也有很多坑(甚至还无法解决),所以单独开一篇讨论企业内部的开源组件漏洞治理的话题,只谈论现象,不评价实际做法的对与错。于是就有了这篇文章。 一、组件及其与漏洞相关的几个概念组件在 IT 技术中是一个特别普通的名词,对于不同的人来说,有着不同的理解或含义。 对于产品和前场部门来说,组件更多的偏向于业务组件,是业务支撑工具中的一个组成部分。
122 天前 / 逆锋起笔
关于从先前的长期支持版本(Java 11 和 Java 8)迁移代码,你需要知道的是什么?整理 | 王晓曼 出品 | CSDN(ID:CSDNnews) SpringFramework6将采用Java17和JakartaEE9 正如在 SpringOne 上宣布的那样,Spring Framework 6 和 Spring Boot 3 计划在 2022 年第四季度实现总体可用性的高端基线:Java 17+( 来自 Spring Framework 5.3.x 线中的Java 8-17)Jakarta EE 9+(来自 Spring 框架 5.3.x线中的 Java EE 7-8)这一前瞻性的基线将为我们的 APl 设计和集成工作带来巨大的好处,在未来的许多年里,它将为应用程序代码和框架以及应用程序带来光明。
165 天前 / LouisJack
终端安全伊朗 APT35 黑客组织利用 Log4j 漏洞部署新型 PowerShell 后门 2022-01-14 10:19:232022 年 1 月,美国 Check Point 软件技术有限公司的研究人员表示,APT35 组织正在利用 Log4Shell 漏洞进行攻击并在 Windows PowerShell 中植入一种新型后门。 APT35 组织又被称为‘Charming Kitten(迷人的小猫)’或者‘Phosphorus(磷)’,一个被普遍认定为归属于伊朗国家政府的黑客组织。 研究显示,APT35 是第一批利用 Log4Shell 漏洞的组织之一。该组织往往在目标更新安全补丁之前就能够扫描出易受攻击的系统。
180 天前 / HueiFeng
总篇 120 篇 2021 年第 15 篇 前言 本文主要简述 SQL 注入漏洞原理、结合漏洞修复经验落地实践方式,最终描述整套的安全落地方案。通过本文可以了解常用测试 SQL 注入工具、不同修复方式的效果差异等。如对具体测试方法细节感兴趣,可查看注释或自行查询测试方法,受政策影响本文不再详细描述。安全是攻击与防御、矛与盾的结合体,只有彼此了解,才能“知己知彼,百战不殆”。 01 背景介绍 之家安全组结合现有情况,发现存在较多的 SQL 注入漏洞,这里简要介绍一下 SQL 注入漏洞: 根据 OWASP TOP 10 2021 最新数据,注入下滑至第三位...
193 天前 / 姬野
赶紧点击上方话题进行订阅吧!报告编号:B6-2021-121602 报告来源:360CERT 报告作者:360CERT 更新日期:2021-12-16 1 简介 近日,Log4j2 漏洞在互联网上呈现爆发性的攻击利用态势,黑客通过发送一条 JNDI 字符串荷载即可控制目标设备。据统计,该漏洞影响 6 万 + 流行开源软件以及 70% 以上的企业线上业务系统。 对此,360CERT 目前汇总整理了一份受到影响的厂商名单,请广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
193 天前 / 钟子敬07
最近几天,世超在各家互联网大厂的程序员朋友们,都快被一个叫 Log4Shell 的史诗级漏洞给折磨疯了! 这个漏洞源于一个叫Log4J2(Log For Java 2)的 Java 开源日志框架,它在用 Java 敲代码的码农群体里可以说是无人不知,无人不晓。 它就好像早年间打《魔兽世界》一定要装的大脚插件一样,属于真正意义上的“咖啡伴侣”,很少有 Java 程序不用这个组件。 就是这么一个要命的底层日志框架,被发现透了一个洞...... 最先发现漏洞的,是阿里云安全团队中,一位叫 Chen Zhaojun 的大佬。
197 天前 / 浪客书心
(给 ImportNew 加星标,提高 Java 技能) Apache Log4j2 报核弹级漏洞,栈长的朋友圈都炸锅了,很多程序猿都熬到半夜紧急上线,昨晚你睡了吗?? Apache Log4j2 是一个基于 Java 的日志记录工具,是 Log4j 的升级,在其前身 Log4j 1.x 基础上提供了 Logback 中可用的很多优化,同时修复了 Logback 架构中的一些问题,是目前最优秀的 Java 日志框架之一。 此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。
197 天前 / CODING_DevOps
导语 12 月 9 日晚间,Apache Log4j 2 发现了远程代码执行漏洞,恶意使用者可以通过该漏洞在目标服务器上执行任意代码,危害极大。 腾讯安全第一时间将该漏洞收录至腾讯安全漏洞特征库中,CODING 制品扫描基于该漏洞特征库,对引用了受影响版本的 Log4j 2 制品进行了精准定位,并给出修复建议,同时可禁止下载含有该安全漏洞的制品,最大限度的减少漏洞蔓延。 Apache Log4j 2 漏洞详情 Apache Log4j 2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了丰富的特性,作为日志记录基础第三方库,被大量 Java 框架及应用使用。
197 天前 / 铭毅天下001
信息来源:https://discuss.elastic.co/ 铭毅一句话概括:Kibana、Beats 不受任何影响。 Elasticsearch、Logstash 受到漏洞影响,需要紧急修复(尤其外网对外提供服务的集群)。 官方解读核心如下: 1、Log4j “核弹”级漏洞起因 2021 年 12 月 9 日,Log4j 的 GitHub 公开披露了一个影响 Apache Log4j 2 实用程序多个版本的高严重性漏洞 (CVE-2021-44228)。该漏洞影响了 Apache Log4j 2 的 2.0 到 2.14.1 版本。 Github 地址:https://logging.apache.org/log4j/2.x/ 本公告总结了对 Elastic 产品的任何潜在影响以及缓解问题的相关公告。
200 天前 / Alpha_h4ck
Web 安全如何使用 FUSE 挖掘文件上传漏洞 2021-11-26 15:34:46 关于 FUSEFUSE 是一款功能强大的渗透测试安全工具,可以帮助广大研究人员在最短的时间内迅速寻找出目标软件系统中存在的文件上传漏洞。 FUSE 本质上是一个渗透测试系统,主要功能就是识别无限制可执行文件上传(UEFU)漏洞。关于 UEFU 无限制可执行文件上传漏洞的相关内容,可以参考这篇【文章】,该文章发表于 NDSS2020。关于如何配置和执行 FUSE,请参阅以下内容。 工具安装当前版本的 FUSE 支持在 Ubuntu 18.04 和 Python 2.7.15 环境下工作。
231 天前 / NingKn
Web 安全 CVE-2017-10271 漏洞复现与分析 2021-11-05 15:17:02 漏洞介绍 Weblogic 的 WLS Security 组件对外提供 webservice 服务,其中使用了 XMLDecoder 来解析用户传入的 XML 数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。攻击者发送精心构造的 xml 数据甚至能通过反弹 shell 拿到权限。 影响版本 OracleWebLogic Server10.3.6.0.0OracleWebLogic Server12.1.3.0.0OracleWebLogic Server12.2.1.1.0OracleWebLogic Server12.2.1.2.0 漏洞复现环境攻击方:kali 2021 服务端:vulhub 的 weblogic 的 CVE-2017-10271 环境 漏洞复现攻击方使用...
243 天前 / 南极进口哈士奇
Web 安全 Nginx 漏洞复现与总结 2021-10-08 21:53:10Nginx 简介 Nginx(engine x) 是一个高性能的 HTTP 和反向代理 web 服务器,同时也提供了 IMAP/POP3/SMTP 服务。其将源代码以类 BSD 许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011 年 6 月 1 日,nginx 1.0.4 发布。 Nginx 是一款轻量级的 Web 服务器 / 反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在 BSD-like 协议下发行。
307 天前 / 张吵吵
Web 安全 weblogic 中间件漏洞总结 2021-08-16 08:48:54 一。weblogic 简介 WebLogic 是美国 Oracle 公司出品的一个 application server 确切的说是一个基于 JAVAEE 架构的中间件,BEA WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的 Java 应用服务器。WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的 Java 应用服务器。将 Java 的动态功能和 Java Enterprise 标准的安全性引入大型网络应用的开发、集成、部署和管理之中。