0day| URI 规范化之访问内部Tomcat服务器【文末抽奖】

描述URI 规范化问题。由反向代理和应用Servlet Container组成的远程基础设施无法规范一些包含路径参数的URL;当前配置引入了潜在的安全风险,允许绕过 ACL 并...

G.O.S.S.I.P 阅读推荐 2022-10-08 DangZero

关于 Use-After-Free(UAF) 漏洞的检测与防护,已经有很多成熟的方案,但对于 web server 这样包含大规模计算/存储,且需要长期运行的程序来说,分析检测和...

车联网移动场景 MQTT 通信优化实践

随着智能化浪潮席卷全球,如今的车辆早已不再是单纯的交通工具,而是一个具备自主推理能力、能和云端交互进行车路协同的移动智能节点。很多的新型应用场景不...

猖獗黑客“薅”交易所羊毛?FTX交易所遭到Gas窃取攻击事件分析

2022年10月13日,成都链安鹰眼-Web3安全预警与监控平台的舆情消息,FTX交易所遭到gas窃取攻击,黑客利用FTX支付的gas费用铸造了大量XEN TOKEN。成都链安安全...

redis未授权到shiro反序列化之session回显马

一、前言 最近拜读 cokeBeer 师傅《redis未授权到shiro反序列化》,文中使用pyyso生成无回显RCE链,再走redis添加session实现反序列化。这种方法虽然可以在sh...

常见堆利用手法解析(中)

“ 作者:Ally Switch”前言本文接《常见堆利用手法解析(上)》,点击蓝字可跳转?学习材料:shellphish 团队在 Github 上开源的堆漏洞系统教程 'how2heap...

【ACTF2022】从Fuzz到XCTF赛题

本文为看雪论坛优秀文章看雪论坛作者ID:Nameless_a一前言今年的XCTF最后一战ACTF圆满结束了,战队最后也是稳住了19名,应该能拿到决赛门票。但ACTF中,pwn题...

新功能:史上最好用的反连&JavaHack,安全能力基座强化ing

反序列化、类加载、JNDI漏洞利用是Java漏洞中特别常见的几种类型,但相对来说利用过程又是较为复杂的。所以Yakit提供了两个特别好用的功能,无需Java环境,仅...

web选手入门pwn(7)

上一篇文章提到的brainpan.exe是一个靶机,这个靶机后续还有个pwn,于是一并说了。http://www.vulnhub.com/entry/brainpan-1,51/https://github.com/kezibei/...

Tomcat 学习

前言在学习内存马之前,了解tomcat的运行原理是十分有必要的。Tomcat 整体架构Tomcat 结构比较复杂,我们先从重点的结构上分别学习各个模块。Tomcat 中最顶层...
1 863 864 865 866 867 1,240