沧海一粟

More know, more less

Httpoxy漏洞看Java与CGI如何交互

具体漏洞详情 在https://httpoxy.org/ 1  什么是CGI CGI是外部应用程序(CGI程序)与Web服务器之间的接口标准,是在CGI程序和Web服务器之间传递信息的过程。CGI规范允许Web服务器执行外部程序,并将它们的输出发送给Web浏览器,CGI将Web的一组简单的静态超...

2016-07-22 23:33:27

阅读数:1125

评论数:2

Java命令注入之防护

1 Java中的命令注入 在Java中的Runtime.getRuntime本质就是使用ProcessBuilder,以ProcessBuilder里用ProcessImpl,start 的一个子进程执行命令, Java的native调用 a. Windows是CreateProcessW 创建子...

2016-07-16 23:24:34

阅读数:5004

评论数:1

Java对象反序列化防护

最近一直曝光的开源软件第三方反序列化漏洞: CVE-2015-7501Commons Collections Java反序列化漏洞 Springframework 反序列化RCE漏洞 都是由于Java对象反序列化本身设计本身缺陷造成的 1.1  Java对象反序列化 Serialization(序...

2016-07-07 23:14:22

阅读数:2410

评论数:1

提示
确定要删除当前文章?
取消 删除