安全防御
文章平均质量分 90
Java技术栈
Java每天一篇干货,微信公众号:Java技术栈
展开
-
玩大了,Log4j 2.x 再爆雷。。。
Log4j 2.x 再爆雷最近沸沸扬扬的 Log4j2 漏洞门事件炒得热火朝天,历经多次版本升级。。。最新的版本为 Log4j 2.16.0,很多人以为 Log4j 2.16.0 只是默认禁用 JNDI 功能和移除消息的 Lookups 功能,只要自己不乱用升不升都无所谓,觉得这个版本不是必须的,以为只升级到 2.15.0 就万事大吉了,非也!栈长又看到了最新 Log4j 核弹级漏洞动态:关于 Log4j 2.x,现在强烈建议大家升级到 2.16.0 !!!因为,2.15.0 虽然解决了最严重原创 2021-12-17 19:56:34 · 257 阅读 · 0 评论 -
jdk紧急漏洞,XMLDecoder反序列化攻击
昨天在公司发现了一个jdk中的XMLDecoder反序列化的漏洞,看起来很危险!下面通过两个示例来看看这个漏洞的危害!示例1:利用XmlDecoder删除本地文件首先来看这个xmldecoder.xml文件内容:java version="1.8.0_151" class="java.beans.XMLDecoder"> object class="java.lang原创 2018-01-12 17:26:05 · 3460 阅读 · 0 评论 -
Slow HTTP POST慢速攻击
测试工具模拟测试工具:slowhttptest https://github.com/shekyan/slowhttptest安装: https://github.com/shekyan/slowhttptest/wiki使用: slowhttptest -c 5000 -u [hostname/ip]-c 表示发起5000个连接,由于是慢速DDOS原创 2018-01-25 09:35:32 · 3878 阅读 · 1 评论 -
漏洞:会话固定攻击(session fixation attack)
什么是会话固定攻击?会话固定攻击(session fixation attack)是利用应用系统在服务器的会话ID固定不变机制,借助他人用相同的会话ID获取认证和授权,然后利用该会话ID劫持他人的会话以成功冒充他人,造成会话固定攻击。看下面Session Fixation攻击的一个简单例子:整个攻击流程是:1、攻击者Attacker能正常访问该应用网站;2、应用网站服务器返...原创 2018-02-28 22:33:36 · 4123 阅读 · 0 评论 -
漏洞:会话固定攻击(session fixation attack)
什么是会话固定攻击?会话固定攻击(session fixation attack)是利用应用系统在服务器的会话ID固定不变机制,借助他人用相同的会话ID获取认证和授权,然后利用该会话ID劫持他人的会话以成功冒充他人,造成会话固定攻击。看下面Session Fixation攻击的一个简单例子:整个攻击流程是:1、攻击者Attacker能正常访问该应用网站;2、应用网站服务器返...原创 2018-04-25 14:07:27 · 5060 阅读 · 0 评论 -
两步验证杀手锏:Java 接入 Google 身份验证器实战
两步验证大家应该对两步验证都熟悉吧?如苹果有自带的两步验证策略,防止用户账号密码被盗而锁定手机进行敲诈,这种例子屡见不鲜,所以苹果都建议大家开启两步验证的。Google 的身份验证器一般也是用于登录进行两步验证,和苹果的两步验证是同样的道理。只不过 Google 的身份验证器用得更多更广泛,如 GitHub 的两步验证都是基于 Google 身份验证器。Google Authent...原创 2018-08-22 09:02:37 · 6619 阅读 · 0 评论