摘要: 漏洞简介 Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 在Apache Shiro 1.5.2以前的版本中,在使用Spring动态控制器时,攻击者通过构造…;这样的跳转,可以绕过Shiro中对目录的权限限制。 阅读全文
posted @ 2023-07-25 19:59 dustfree 阅读(196) 评论(0) 推荐(0) 编辑
摘要: 必须建立一套自己开发的web安全漏洞环境(即web安全靶场),可以暂时先模仿vulhub、vulfocus等,基于Docker、docker-compose技术进行构建。 后续可考虑基于K8S或OpenStack等底层技术进行构建,同时糅合web常规漏洞靶场——sqlilab、xss、pikaqu等 阅读全文
posted @ 2023-07-25 11:25 dustfree 阅读(86) 评论(0) 推荐(0) 编辑