摘要: actuator未授权这个洞很久了,但是今天无意间被白帽子爆了一个,于是立即对此漏洞进行复盘排查,果然发现线上其他也有此类问题。 actuator 常规利用方式,读取env的password、获取httptrace,jolokia进行JNDI。也可以 dump 内存,之前遇到了一次众测项目,但是之前 阅读全文
posted @ 2021-06-07 17:32 sevck 阅读(432) 评论(0) 推荐(0) 编辑