摘要: Prometheus介绍 Prometheus 是一款用于事件监控告警的开源免费应用程序, 采用Go编写。 Prometheus 工作时通过HTTP的方式周期性抓取被监控组件的性能数据,任意想要被监控的组件只需要提供对应的HTTP接口即可接入监控,不需要额外的SDK支持或者其他的集成过程,输出被监控组件性能信息的HTTP接口被叫做exporter。 其中常用的exporter有node_exporter,可以用来输出服务器的CPU使用率,磁盘占用情况,网络带宽使用情况,等基本性能信息。 Grafana 介绍 Grafana是一个跨平台的开源的度量分析和可视化工具,可以通过将采集的数据查询然后可视化的展示,并及时通知。 阅读全文
posted @ 2020-12-25 20:00 艾斯泽 阅读(1716) 评论(0) 推荐(0) 编辑
摘要: actuator 下载heapdump 文件 若目标网站存在actuator未授权访问漏洞,一般访问如下链接可下载内存文件 /heapdump /actuator/heapdump 阅读全文
posted @ 2020-05-15 10:44 艾斯泽 阅读(10226) 评论(0) 推荐(0) 编辑
摘要: git submodule update操作可能导致执行.gitmodules文件中定义的任意shell命令。 受影响的产品 Git版本2.20.0至2.24.0 修复版本 Git v2.24.1,v2.23.1,v2.22.2,v2.21.1,v2.20.2 披露时间表 2019-11-11 gi 阅读全文
posted @ 2019-12-11 11:27 艾斯泽 阅读(10146) 评论(1) 推荐(0) 编辑
摘要: Haproxy 介绍 HAProxy是一个使用C语言编写的自由及开放源代码软件,其提供高可用性、负载均衡,以及基于TCP和HTTP的应用程序代理。 请求走私(Request smuggling)概念证明 使用下面的haproxy.cfg defaults mode http timeout http 阅读全文
posted @ 2019-11-01 17:19 艾斯泽 阅读(1815) 评论(0) 推荐(0) 编辑
摘要: 什么是HTTP请求夹带(smuggling)攻击 HTTP请求走私是一种干扰网站处理从一个或多个用户接收的HTTP请求序列的方式的技术。 请求夹带漏洞危害,允许攻击者绕过安全控制,获取对敏感数据的未授权访问,并直接危及其他应用程序用户。 阅读全文
posted @ 2019-08-09 18:21 艾斯泽 阅读(4905) 评论(0) 推荐(0) 编辑
摘要: Nuxeo Platform是一款跨平台开源的企业级内容管理系统(CMS)。 nuxeo-jsf-ui组件处理facelet模板不当,当访问的facelet模板不存在时,相关的文件名会输出到错误页面上,而错误页面会当成模板被解析,文件名包含表达式也会被输出同时被解析执行,从而导致远程代码执行漏洞。 在漏洞挖掘过程中发现nuxeo-jsf组件默认在10.2没有安装,历史版本是默认就安装的。可以通过nuxeoctl mp-install nuxeo-jsf-ui 命令安装。 阅读全文
posted @ 2018-12-26 15:03 艾斯泽 阅读(1291) 评论(0) 推荐(0) 编辑
摘要: 阅读全文
posted @ 2018-04-28 11:14 艾斯泽 阅读(1088) 评论(0) 推荐(1) 编辑
摘要: 没有安装Android studio。 阅读全文
posted @ 2018-04-07 14:29 艾斯泽 阅读(11216) 评论(0) 推荐(0) 编辑
摘要: 服务端模版注入漏洞产生的根源是将用户输入的数据被模版引擎解析渲染可能导致代码执行漏洞 阅读全文
posted @ 2018-04-07 13:17 艾斯泽 阅读(2402) 评论(0) 推荐(0) 编辑
摘要: PhantomJS 是一个无图形界面的浏览器,它支持各种Web标准:DOM处理,CSS选择器,JSON,Canvas和SVG。且支持win,linux,osx平台。 阅读全文
posted @ 2017-10-09 11:07 艾斯泽 阅读(651) 评论(0) 推荐(0) 编辑