Struts2 历史版本的远程代码执行

一、S2-003 受影响版本:低于Struts 2.0.12 struts2会将http的每个参数名解析为ongl语句执行(可理解为java代码)。ongl表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制。 二……

OpenSSL CVE-2016-0800 和 CVE-2016-0703 漏洞修复细节拾趣

1. 引子 本来最近和360 Nirvan Team的DQ430愉快的参加某加密厂商的年度大会,结果openssl也出来碰热闹,也许真是为了DH兄弟送大礼,苦了我们这些安全运维的。 感谢Shawn的指点! hf! 2. 细节 360在内部信息安全实践历程中,“360信息安全部”逐步秉承最佳安全……

Jenkins之Java反序列化漏洞分析(CVE-2016-0792)

Jenkins近日修复了一个可通过低权限用户调用API服务致使的命令执行漏洞:低权限用户通过构造一个恶意的XML文档并发送至服务端接口,使服务端解析时调用API执行外部命令。 XStream是一个流行的反序列化库,许多主流应用程序,如IRA、Confluence、Bamboo,和J……

OpenSSL又暴新漏洞,超过1100万https站点受影响

据了解,最近有研究人员在OpenSSL中发现了一个新的安全漏洞,这个漏洞将会对SSL(安全套接层)安全协议产生巨大的影响,而且攻击者还有可能利于这个漏洞来对现代的Web网络站点进行攻击。 影响超过1100万网站 我们将利用这一漏洞来进行攻击的行为称为“DROWN……

Top