当前搜索:

Struts2远程命令执行漏洞 S2-045 源码分析

Struts2 又爆OGNL的高危漏洞S-045,又是OGNL的漏洞漏洞分析1. Struts 的上传request在上传文件里,Struts默认使用的是common upload 的上传组件, 为了能被action访问到上传的文件,通常会重新封装request,  Spring也是这么做。Jak...
阅读(7208) 评论(3)

CVE-2016-1000031 Apache Commons FileUpload 反序列化漏洞深入分析

反序列化漏洞最近一直不得安宁,先有Apache Commons Collections通过反序列化实现远程代码执行,再有Spring RMI 反序列化漏洞,最新又有了common upload file的反序列化漏洞CVE-2016-1000031(https://cve.mitre.org/cg...
阅读(3416) 评论(0)

Java XML XXE 底层防御

JavaXML相关API 是由JAXP定义了相关的XML的通用接口,常见包括DOM/SAX/STAX/XPATH 的标准API Javax.xml.parsers  -> DOM/SAX Javax.xml.stream   -> STAX Javax.xml.xpath    -&g...
阅读(2294) 评论(0)

Httpoxy漏洞看Java与CGI如何交互

具体漏洞详情 在https://httpoxy.org/ 1  什么是CGI CGI是外部应用程序(CGI程序)与Web服务器之间的接口标准,是在CGI程序和Web服务器之间传递信息的过程。CGI规范允许Web服务器执行外部程序,并将它们的输出发送给Web浏览器,CGI将Web的一组简单的静态超...
阅读(1076) 评论(2)

Java命令注入之防护

1 Java中的命令注入 在Java中的Runtime.getRuntime本质就是使用ProcessBuilder,以ProcessBuilder里用ProcessImpl,start 的一个子进程执行命令, Java的native调用 a. Windows是CreateProcessW 创建子...
阅读(3673) 评论(1)

防XSS的输出编码规则

网上相关资料比较少,这里收集一下防止跨站脚本(XSS)相关的关键输出编码机制编码类型编码机制HTML实体编码 1.  字符 , . - _ 空格 不需要转码2.  字母(a-z, A-Z)数字(0-9)不需要转码3.  转换 & 为 &4. ...
阅读(2150) 评论(0)

栈溢出攻击系列:shellcode在linux x86 64位攻击获得root权限(七)利用寄存器攻击

栈溢出攻击系列:shellcode在linux x86 64位攻击获得root权限(七)利用寄存器攻击
阅读(2376) 评论(0)

栈溢出攻击系列:shellcode在linux x86 64位攻击获得root权限(六)固定地址的栈溢出攻击

栈溢出攻击系列:shellcode在linux x86 64位攻击获得root权限(六)固定地址的栈溢出攻击
阅读(1469) 评论(0)

栈溢出攻击系列:shellcode在linux x86 64位攻击获得root权限(五)栈溢出原理

在前面的系列中,已经提到了方法调用关系中栈空间是如何布局的,而造成栈溢出的主要原因是有些函数没有越界检查,最后导致了栈的溢出,也就是栈的空间被人为的重新布局。大家重新在看这张栈的图 方法A调用方法B, 当B方法执行退出的时候,首先rbp指针指回方法A的函数入口地址,然后把rip 赋值到返回地址...
阅读(1611) 评论(0)

栈溢出攻击系列:shellcode在linux x86 64位攻击获得root权限(四)linux下进程内存布局

栈溢出攻击系列:shellcode在linux x86 64位攻击获得root权限(四)linux下进程内存布局
阅读(1813) 评论(0)

栈溢出攻击系列:shellcode在linux x86 64位攻击获得root权限(三)linux下进程中的多用户

栈溢出攻击系列:shellcode在linux x86 64位攻击获得root权限(三)linux下进程中的多用户
阅读(1674) 评论(0)

栈溢出攻击系列:shellcode在linux x86 64位攻击获得root权限(二)shellcode

栈溢出攻击系列:shellcode在linux x86 64位攻击获得root权限(二)shellcode
阅读(4257) 评论(0)

栈溢出攻击系列:shellcode在linux x86 64位攻击获得root权限(一)函数如何执行

栈溢出攻击系列:shellcode在linux x86 64位攻击获得root权限(一)函数如何执行
阅读(2567) 评论(0)
    个人资料
    持之以恒
    等级:
    访问量: 52万+
    积分: 5594
    排名: 5891
    最新评论