XXL-JOB
文章平均质量分 86
vlan911
一个快乐的从事安全工作者
展开
-
记一次spring boot框架的conent-type导致的存储型跨站脚本攻击
最近测试遇到的都是spring boot框架的web渗透测试,网上很多大佬说这个框架存在很多漏洞,的确找到过信息泄露,是关于用户日志泄露了其他用户包括管理员用户的登录信息,包括Token、用户名以及密码(密码加密方式与登录加密方式一致,导致直接使用便可登录)这个时候点击查看可查看任何用户的登录日志略略略,这玩意信息泄露感觉有点那啥,太边缘了,试了很多大婶们说的漏洞,一个都不好使,呸,骗纸好吧,说到这次遇到比较特殊的玩法了,其实也不特殊,只是对于我这个渣宰而言比较有意思吧首先介绍一下content-t原创 2021-06-10 17:34:15 · 307 阅读 · 3 评论 -
XXL-JOB任务调度中心-反弹shell)
XXL-JOB任务调度中心-反弹shell什么是XXL-JOBXXL-JOB初体验修复建议什么是XXL-JOBXXL-JOB是一个轻量级分布式任务调度平台,支持通过web页面对任务进行操作,基于Java-spring boot框架开发,利用Maven依赖编译好,开箱即用。如果XXL-JOB任务调度中心后台使用了弱密码,则可通过新增任务来反弹shell(实际上可以执行很多系统命令,因为bash shell直接写进服务器里面了)。XXL-JOB初体验今天测试,在后台看到了这个陌生的东西,说实话,安全测原创 2021-05-25 14:55:59 · 2362 阅读 · 3 评论