CVE-2020-1362漏洞分析作者:bybye@知道创宇404实验室时间:2020年7月24日原文地址:https://paper.seebug.org/1276/漏洞背景WalletService服务是windows上用来持有钱包客户端所使用的对象的一个服务,只存在windows10中。CVE-2020-1362是WalletService在处理CustomProperty对象的过程中出现了
分类:
其他好文 时间:
2020-07-28 22:11:37
阅读次数:
91
前言 这里将fastjson<=1.2.24和fastjson<=1.2.47的版本同时复现。利用的思路都是大致相同的,部分细节忽略。 一、环境搭建和知识储备 1.1、影响版本 漏洞1 CVE-2017-18349 fastjson ? 1.2.24(实际[1.2.22-1.2.24]) 漏洞2 f ...
分类:
Web程序 时间:
2020-07-28 16:51:00
阅读次数:
128
Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通过Http Get操作提出查找请求,并得到XML格式的返回结果。
分类:
Web程序 时间:
2020-07-28 10:24:52
阅读次数:
131
0x01 漏洞简介 首先声明的是CVE-2017-12615漏洞的利用条件是Windows+Tomcat 7.0.x+配置文件readonly=false,配置文件内容如: <init-param> <param-name>readonly</param-name> <param-value>fal ...
分类:
其他好文 时间:
2020-07-27 14:01:16
阅读次数:
82
新病毒.PPHL是Dharma勒索软件又推出了新的加密病毒变体。Dharma系列勒索软件通过在文件后缀.PPHL扩展名来加密文件,从而使文件无法访问。
分类:
其他好文 时间:
2020-07-27 09:59:39
阅读次数:
112
我们作为软件工程师,工作上保持代码审查的习惯是很重要的。 而审查其实就像编写代码一样,必须不断练习并提供反馈,这一点至关重要。 以下是VTS工程师制订的代码审查目标及一些改善建议。 代码审查的两个主要目标是: 1 提高代码质量 审查可以通过以下方式提高代码质量: 查找并修复代码漏洞—我们需要高质量的 ...
分类:
其他好文 时间:
2020-07-26 19:10:52
阅读次数:
83
(CVE-2019-14287)sudo提权漏洞 一、漏洞简介 sudo是linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,漏洞主要原因因为将用户 ID 转换为用户名的函数,会将 -1(或无效等效的 4294967295)误认为 0,而这正好是 root 用 ...
分类:
其他好文 时间:
2020-07-26 01:49:15
阅读次数:
88
0x00 漏洞描述 Jenkins使用Stapler框架开发,其允许用户通过URL PATH来调用一次public方法。由于这个过程没有做限制,攻击者可以构造一些特殊的PATH来执行一些敏感的Java方法。 通过这个漏洞,我们可以找到很多可供利用的利用链。其中最严重的就是绕过Groovy沙盒导致未授 ...
分类:
其他好文 时间:
2020-07-26 01:29:21
阅读次数:
66
Nginx基本安全优化 隐藏Nginx软件版本号信息 一般来说,软件的漏洞都和版本有关,这个很像汽车的缺陷,同一批次的要有问题就都有问题,别的批次可能就都是好的。因此,我们应尽量隐藏或者消除Web服务对访问用户显示各类敏感信息(例如Web软件名称以及版本号等信息),增加恶意用户攻击服务器的难度,从而 ...
分类:
其他好文 时间:
2020-07-26 00:31:29
阅读次数:
97
0x01 环境 使用vulhub搭建:/vulhub-master/jboss/CVE-2017-7504 漏洞点:http://192.168.255.130:8080/jbossmq-httpil/HTTPServerILServlet 0x02 复现 工具:https://github.com ...
分类:
其他好文 时间:
2020-07-25 23:56:07
阅读次数:
134
