【vulhub漏洞复现】CVE-2016-3088 ActiveMQ任意文件写入漏洞
漏洞原理:ActiveMQ中存储文件的fileserver接口支持写入文件,但是没有执行权限。可以通过MOVE文件至其他可执行目录下,从而实现文件写入并访问。ActiveMQ在5.12.x~5.13.x版本中,默认关闭了fileserver这个应用(但是可以在conf/jetty.xml中开启);在5.14.0版本以后,彻底删除了fileserver应用。访问8161端口默认账户密码admin/admin 登录文件上传成功需要有以下几点前提:知道文件上传的绝对路径网站有文件上传功能文件类型没有被限制上传的文
【vulhub漏洞复现】Thinkphp 2.x 任意代码执行
当preg_replace使用了/e模式,可以导致代码执行。该函数的正则规则和目标字符可以由用户进行输入。preg_replace 函数在匹配到符号正则的字符串时,会将替换字符(第二个参数)当做代码来执行。在ThinkPHP ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由,导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。
【vulhub漏洞复现】CVE-2021-44228 Apache Log4j 远程代码执行漏洞
一、漏洞详情Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。JNDI注入漏洞JNDI (Java Naming and Directory Interface) 是一组应用程序接口,它为开发人员查找和访问各种资源提供了统一的通用接口,可以用来定位用户、网络、机器、对象和服务等各种资源。JNDI底层支持RMI远程对象,RMI注册的服务可以通过JNDI接口来访问和调用。
【vulhub漏洞复现】CVE-2018-2894 Weblogic任意文件上传漏洞
一、漏洞详情WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic的某个上传点存在文件上传漏洞,导致可以上传任意jsp文件从而获取服务器权限。二、复现过程搭建docker环境。
【Web安全】PHP安全
严格来说,文件包含就是代码注入的一种。代码注入,其原理就是注入一段用户能控制的脚本或代码并让服务器端执行。代码注入的典型代表就是文件包含。文件包含可能会出现在JSP、PHP、ASP等语言中,常见函数如下:PHP:include()、include_once()、require()、require_once()、fopen()、readfile()……JSP/Servlet:ava.io.File()、java.io.FileReader()……
GOPS 全球运维大会来了,龙蜥社区邀您一起了解“系统运维”
第二十届 GOPS 全球运维大会将于 2023 年 4 月 7-8 日在南山区深圳湾万丽酒店召开。龙蜥社区核心开发者冯富秋受邀参会,将在“可观测专场”分享技术演讲。欢迎收看!
【每天学习一点新知识】JNDI注入
JNDI是Java的一种API,为我们提供了查找和访问各种命名和目录服务的通用统一的接口。通过JNDI统一接口我们可以来访问各种不同类型的服务,例如远程方法调用(RMI),通用对象请求代理体系结构(CORBA),轻型目录访问协议(LDAP)或域名服务(DNS),相当于一个中间件,用户无需了解底层应用的具体应用要求,可以直接通过JNDI访问。
【软考中级信安】第四章--网络安全体系与网络安全模型
1.网络安全体系概述1.1 网络安全体系概念网络安全体系:是网络安全保障系统的最高层概念抽象,是由各种网络安全单元按照一定的规则组成的,共同实现网络安全的目标。1.2 网络安全体系特性• 整体性:网络安全单元按照一定规则,相互依赖,相互约束,相互作用而形成人机物一体化的网络安全保护方式。• 协同性:网络安全体系依赖于多种安全机制相互协作,构建系统性的网络安全保护方案。
【每天学习一点新知识】Windows日志分析
日志:日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息。日志文件中的记录可以提供以下用途:监控系统资源;审计用户行为;对可疑行为进行告警;确定入侵行为的范围;为恢复系统提供帮助;生成调查报告;为打击计算机犯罪提供证据来源。主要目的:对攻击行为进行溯源定位攻击者的ip摸清攻击行为,对系统中的安全薄弱点进行加固针对性的进行漏洞加固。
如何保证 Java 应用安全?标准答案来了 | 龙蜥技术
龙蜥社区云原生机密计算 SIG 推出了 Java 机密计算的具体实现技术——Teaclave Java TEE SDK, 为 Java 程序的安全性带来了重大的提升,欢迎点击了解~
【每天学习一点新知识】Linux日志分析
用户登录日志1.历史文件命令#root用户的命令日志位置(bash环境下)#每个用户下都有一个隐藏的.bash_history或者直接在命令行使用查看历史命令# history清除历史命令(需要在bash情况下才能生效,否则就会报错)(可以清空本次登入的所有输出命令,但不清空.bash_history文件,所以下次登录后,旧命令仍会出现)#root用户的命令日志位置(在zsh环境下清除历史命令(在zsh环境下。
联想超融合加入龙蜥社区,多产品完成与 Anolis OS 适配
中国超融合技术倡导者联想超融合加入龙蜥社区。联想 AIO 的基础云、桌面云和虚拟化等产品也已全面适配和支持龙蜥,未来将进一步在安全性、可靠性、兼容性等方面展开合作。
龙蜥社区理事长马涛当选开放原子开源基金会 TOC 副主席
近日,开放原子开源基金会举办了技术监督委员会(以下简称“TOC”)第六十九次全体会议,会上针对新一届 TOC 成员改选进行了公正公平的投票,龙蜥社区理事长马涛当选开放原子开源基金会 TOC 副主席。
Android 14 Beta 版发布,稳步提升与亮点并存
作者 / Dave Burke, VP of Engineering今天,我们为大家带来Android 14 的第一个 Beta 版。这个版本依旧围绕着隐私、安全、性能、开发者生产力和用户定制这些核心主题打造,同时继续完善平板电脑、可折叠设备等大屏设备上的体验。我们一直在稳步完善 Android 14 的功能和稳定性,现在是时候向开发者和早期用户开放体验了。每一年 Android 都会带来改进和...
国产AI服务器分类、技术及产品(2023)
目前国产服务器主要品牌也就是浪潮、曙光、华为、超聚变、新华三、联想、风虎(科研服务器风虎信息、风虎云龙),也还有很多其他品牌,外国品牌惠普、戴尔、IBM等在国内还有不小的份额,其实核心部件大家都一样,选国产的更划算。说明: 1、华为、超聚变已经为两家,超聚变以X86架构服务器为主,华为在走自研处理器服务器,主要为鲲鹏、昇腾系列;2、科研服务器往往是众多应用的基础、涉及科研方向、领域较宽,特别是不同软件特征和使用环境,要求团队要有相当的专业经验,科研服务器是各类应用场景的先导和基础。AI服务器采取GPU架构,
今日推荐
周排行