Paper_airplane

摘要： 参考连接：https://mp.weixin.qq.com/s/Nzh5QxMK3XMoISE6Y3UJMA 描述 2021年1月5日，Apache 官方发布新的漏洞通告，修复了flink两个高危漏洞（CVE-2020-17518/17519）。这两个高危漏洞均由于引入存在缺陷的REST API导致 阅读全文

摘要： 描述 selenium使用find_element_by_xpath方法寻找节点的时候找到会返回true，找不到则返回异常信息，也没有直接返回节点是否存在的方法，不过可以通过自定义方法来判断文件是否存在 思路 自定义方法，接收一个参数文件节点路径，如果存在就返回true，如果不存在就返回false 阅读全文

摘要： 描述 用友GRP-u8存在XXE漏洞，该漏洞源于应用程序解析XML输入时没有进制外部实体的加载，导致可加载恶意外部文件。 漏洞利用 POC： POST /Proxy HTTP/1.1 Content-Type: application/x-www-form-urlencoded User-Agent 阅读全文

摘要： 发文字号： 中华人民共和国主席令第五十三号 效力级别： 法律 时 效 性： 现行有效 发布日期： 2016-11-07 实施日期： 2017-06-01 发布机关： 全国人大常委会 第一条 为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信 阅读全文

摘要： 0x01 漏洞描述 2020年03月31 日，Sonatype 官方发布安全公告，声明修复了存在于 Nexus Repository Manager 3 中的远程代码执行漏洞 CVE-2020-10199。 Sonatype Nexus 是一个 Maven 的仓库管理系统，它提供了强大的仓库管理、构 阅读全文

摘要： 文件存在位置 chrome浏览器拥有记住密码功能，而记住的密码则存储在本地的%LocalAppData%\Google\Chrome\User Data\Default\Login Data文件中，其中%LocalAppData%表示的是C:\Users<user>\AppData\Local文件夹 阅读全文

摘要： 0x01 前言 Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530)，在使用某些tag等情况下可能存在OGNL表达式注入漏洞，从而造成 阅读全文

摘要： 0x01 简介 Weblogic是美国Oracle公司出品的一个Application Server，确切的说是一个基于JavaEE架构的中间件，Weblogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 0x02 漏洞描述 未经身份验证的远程攻击者 阅读全文

摘要： 转载自https://mp.weixin.qq.com/s/kVa5UBobE-m0krdXSrhO6Q 介绍 当我们通过渗透进入内网环境后，面对的是一片未知区域。对当前机器角色判断，对机器所处区域分析。本文分成两个部分。第一部分是常见信息收集思路、第二部分是一些小工具推荐 判断当前机器区域 判断机 阅读全文

摘要： 0x01 前言 Spring Boot框架是最流行的基于Java的微服务框架之一，可帮助开发人员快速轻松地部署Java应用程序，加快开发过程。当Spring Boot Actuator配置不当可能造成多种RCE，因为Spring Boot 2.x默认使用HikariCP数据库连接池，所以可通过H2数 阅读全文