XXE在Java场景下的一些攻击面
最近看到一篇文章内容,想到自己好想忘记了XXE的一些知识点,做一个回顾
最近看到一篇文章内容,想到自己好想忘记了XXE的一些知识点,做一个回顾
这个场景的利用前提都是未授权或者弱口令进入后台然后进行操作,最近看到了一些文章,主要是后面两种,学习一下
Confluence CVE-2022-26134 分析
在群里看到两个关于权限校验的漏洞,然后想起之前遇到一个jetty+Spring环境的越权案例,毕竟比起使用 Tomcat,jetty的环境在云环境上有更高的效率,各互联网中大厂都逐渐使用jetty部署应用,这里分析一下
来自Litch1大哥的《Make JDBC Attack Brilliant Again》学习记录
一个比较偏的序列化组件,看到了就学习一下
尝试一下RASP是怎么使用的
这个点有时候实际情况坑还是挺多的
又是填坑学习的一天
来自RWCTF的一个题目,学习了
关于SpringSecurity权限校验的一个洞,可以拿来当一个trick之类的吧,之前没整过SpringSecurity,自己搭建一次熟悉一下,影响了5.5.7 之前的 5.5.x5.6.4 之前的 5.6.x早期不支持的版本
继续填坑罢了
陈师傅知识星球里面看到的,刚好有空跟着学习一下,学习的本质了
自从有了Gateway的RCE之后,后续我感觉Spring Cloud 的其他组件也是挖掘漏洞的重点,这个果然又成为了下一个目标
总结一下shiro权限绕过的内容
第一次使用这个工具记录一下
Thymeleaf模板注入学习
继续学Java~~~
Jira 最近的几个漏洞,让我学着从补丁里面分析