漏洞分析
文章平均质量分 80
he1m4n6a
no pay no gay.
展开
-
JAVA Apache-CommonsCollections 序列化RCE漏洞分析
0x00 漏洞背景2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用,实现远程代码执行。Apache Commons Collections这样的基础库非常多的Java应用都在用,原创 2016-04-17 22:23:23 · 5690 阅读 · 0 评论 -
ElasticSearch几个漏洞总结
ElasticSearch远程命令执行(CVE-2014-3120)漏洞介绍:ElasticSearch有脚本执行(scripting)的功能,可以很方便地对查询出来的数据再加工处理。ElasticSearch用的脚本引擎是MVEL,这个引擎没有做任何的防护,或者沙盒包装,所以直接可以执行任意代码。而在ElasticSearch 1.2之前的版本中,默认配置是打开动态脚本功能的,如原创 2016-04-17 21:45:04 · 25534 阅读 · 1 评论