摘要:
在前司写的办公安全要求,主要面向全体员工而非专业人士,公司规模中等,有类似需求的朋友可以参考一下。 目录 一、 目的 3 二、 适用范围 3 三、 员工办公安全准则 3 信息安全准则 3 1.1 人事安全 3 1.2 数据安全 4 1.3 账号安全 5 网络连接与使用规范 5 2.1 办公电脑连接规 阅读全文
摘要:
初识Rasp——Openrasp代码分析 @author:Drag0nf1y 本文首发于奇安信安全社区,现转载到个人博客。 原文链接: https://forum.butian.net/share/1959 什么是RASP? Rasp的概念 RASP(Runtime application se 阅读全文
摘要:
0x1 缓冲区溢出漏洞攻击简介 缓冲区溢出攻击是针对程序设计缺陷,向程序输入缓冲区写入使之溢出的内容(通常是超过缓冲区能保存的最大数据量的数据),从而破坏程序的堆栈,使程序转而执行其他指令,以达到攻击的目的。 缓冲区溢出中,最为危险的是堆栈溢出,因为入侵者可以利用堆栈溢出,在函数返回时改变返回程序的 阅读全文
摘要:
JSP Webshell免杀设计 @author:drag0nf1y 介绍 什么是Webshell? 被服务端解析执行的php、jsp文件 什么是RCE? remote command execute remot code execute Java没有eval这样的函数,只能执行命令,想要执行代码可 阅读全文
摘要:
漏洞描述: Springmvc框架参数绑定功能,绑定了请求里的参数造成变量注入,攻击者可以实现任意文件写入,漏洞点spring-beans包中。 漏洞编号: CVE-2022-22965 影响范围: JDK>=9 spring < 5.3.18 or spring < 5.2.20 tomcat 前 阅读全文
摘要:
群里大佬们打哈哈的内容,菜鸡拿出来整理学习一下,炒点冷饭。 主要包含以下三个部分: jndi注入原理 jndi注入与反序列化 jndi注入与jdk版本 jndi注入原理: JNDI(Java Name and Dictionary Interface Java名称与目录接口),一套JavaEE的标准 阅读全文
摘要:
本文首发于云影实验室,为本人创作,现转载到个人博客,记录一下。 原文链接:https://mp.weixin.qq.com/s/O2xHr2OEHiga-qTnbWTxQg Apache Log4j是Apache的一个开源项目,是一个基于Java的日志记录工具,因其卓越的性能,使用极其广泛。近日该组 阅读全文
摘要:
先说一句,这傻x洞能给cve就离谱,大半夜给人喊起来浪费时间看了一个小时。 先说利用条件: 需要加载“特定”的配置文件信息,或者说实际利用中需要能够修改配置文件(你都能替换配置文件了,还要啥log4j啊)。 然后因为log4j2.17.0已经实际上默认关闭了jndi的使用,还需要对方真的手动打开这个 阅读全文
摘要:
之前看到群里有人问JWT相关的内容,只记得是token的一种,去补习了一下,和很久之前发的认证方式总结的笔记放在一起发出来吧。 Cookie、Session、Token与JWT(跨域认证) 什么是Cookie? HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端 阅读全文
摘要:
fastjson 1.2.24反序列化漏洞复现 先写一个正常的使用 fastjson的web服务 我们使用 springboot创建 主要是pom.xml 里面要添加fastjson fastjson要求小于等于 1.2.24 <dependency> <groupId>com.alibaba</g 阅读全文