chenlei567的专栏

Apache Struts2 Commons FileUpload反序列化远程代码执行漏洞安全公告 安全公告编号:CNTA-2018-0029 2018年11月7日，国家信息安全漏洞共享平台（CNVD）收录了Apache Struts2 Commons FileUpload反序列化远程代码执行漏洞（CNVD-2016-09997，对应CVE-2016-1000031）。攻击者利用该漏洞，可在未授权的情况下远程执行代码。目前，厂商已发布修复漏洞的版本。 一、漏洞情况分析 Struts2是第二代基于Model-View-Controller（MVC）模型的java企业级web应用框架，成为国内外较为流行的容器软件中间件。 2018年11月5日，Apache Strust2发布最新安全公告，Apache Struts2存在远程代码执行的高危漏洞（CVE-2016-1000031），该漏洞由Tenable研究团队发现。此漏洞为FileUpload 库中的一个高危漏洞，这个库作为Apache Struts 2的一部分，被用作文件上传的默认机制。攻击者可以在未经授权的情况下，执行任意代码并可获取目标系统的所有权限。 CNVD对该漏洞的综合评级为“高危”。 二、漏洞影响范围 目前，漏洞影响的产品版本包括： Struts 2.5.12以下版本。 三、漏洞处置建议 目前，Apache公司已发布了新版本（Struts 2.5.12及以上版本，包括Commons FileUpload库的修补版本1.3.3）修复了该漏洞

Apache Shiro 权限绕过漏洞分析 Apache Shiro < 1.6.0 Apache Shiro < 1.4.2 版本中cookie值rememberMe通过AES-128-CBC模式加密，容易受到Padding Oracle攻击。攻击者可以通过以下步骤完成攻击： 1、登录Shiro网站，获取持久化cookie中rememberMe字段的值； 2、通过ysoserial反序列漏洞利用工具生成攻击payload作为plaintext； 3、使用rememberMe值作为prefix进行Padding Oracle攻击，加密payload的plaintext得到rememberMe攻击字符串； 4、使用rememberMe攻击字符串重新请求网站，进行反序列化攻击，最终导致远程任意命令执行。 ———————————————— 版权声明：本文为CSDN博主「不务正业的程序员。」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。 原文链接：https://blog.csdn.net/qq_39513430/article/details/104385519

反序列化远程执行漏洞 SSRF漏洞 远程拒绝服务漏洞

2019年7月31日，阿里云应急响应中心监测到有安全研究人员披露Jackson最新反序列化远程代码执行漏洞(CVE-2019-14361和CVE-2019-14439)，针对CVE-2019-12384漏洞绕过，利用可导致远程执行服务器命令，官方git已发布公告说明，请使用到Jackson的用户尽快升级至安全版本。 漏洞描述 近日，Jackson官方github仓库发布安全issue，涉及漏洞CVE-2019-14361和CVE-2019-14439，均为针对CVE-2019-12384漏洞的绕过利用方式，当用户提交一个精心构造的恶意JSON数据到WEB服务器端时，可导致远程任意代码执行。阿里云应急响应中心提醒Jackson用户尽快采取安全措施阻止漏洞攻击。 风险评级 CVE-2019-14439 高危 CVE-2019-14361 高危 影响版本 jackson-databind < 2.9.9.2 jackson-databind < 2.10.0 jackson-databind < 2.7.9.6 jackson-databind < 2.8.11.4 jackson-databind < 2.6.7.3 安全版本 jackson-databind >= 2.9.9.2 jackson-databind >= 2.10.0 jackson-databind >= 2.7.9.6 jackson-databind >= 2.8.11.4 jackson-databind >= 2.6.7.3

VMware Tanzu发布安全公告，公布了一个存在于Spring Framework中的反射型文件下载（Reflected File Download,RFD）漏洞CVE-2020-5421。CVE-2020-5421 可通过jsessionid路径参数，绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5211 添加的 攻击者通过向用户发送带有批处理脚本扩展名的URL，使用户下载并执行文件，从而危害用户系统。 官方已发布修复了漏洞的新版本。 Spring Framework是 Java 平台的一个开源全栈应用程序框架和控制反转容器实现，一般被直接称为 Spring。受影响产品版本 Spring Framework 5.2.0 – 5.2.8 Spring Framework 5.1.0 – 5.1.17 Spring Framework 5.0.0 – 5.0.18 Spring Framework 4.3.0 – 4.3.28 以及其他已不受支持的版本 不受影响产品版本 Spring Framework 5.2.9 Spring Framework 5.1.18 Spring Framework 5.0.19 Spring Framework 4.3.29

XStream是一个常用的Java对象和XML相互转换的工具。近日XStream官方发布安全更新，修复了XStream 反序列化漏洞（CVE-2020-26258、CVE-2020-26259）。攻击者通过构造恶意的XML文档，可绕过XStream的黑名单，触发反序列化，从而造成CVE-2020-26258 SSRF漏洞，以及 CVE-2020-26259 任意文件删除漏洞 影响版本 XStream < 1.4.15

odi-sdk-invocation.jar

cron的表达式被用来配置CronTrigger实例。 cron的表达式是字符串，实际上是由七子表达式，描述个别细节的时间表

利用ASP 编写的网站导航系统 利于初学者参考使用！！！

学籍管理 关于 学生信息的管理 包括删除 添加排序