20160322-Java一些漏洞点的笔记

现在2016年了,弄渗透就得效率

Juniper Networks

后门密码：<<< %s(un='%s') = %u

http://www.secpulse.com/archives/42059.html

Java反序列化漏洞之weblogic本地利用实现篇

http://www.freebuf.com/vuls/90802.html

http://www.freebuf.com/?s=Java%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96

Java反序列化集成工具

http://www.freebuf.com/tools/92011.html

飞塔SSH后门 4900台机器样本测试报告

FortiGate

https://www.92aq.com/2016/01/12/%E9%9A%8F%E6%9C%BA4900%E5%8F%B0%E6%9C%BA%E5%99%A8%E6%A0%B7%E6%9C%AC%E6%B5%8B%E8%AF%95%E6%8A%A5%E5%91%8A.html

Oracle Forms 10g 未认证远程代码执行漏洞分析(CVE-2014-4278)

http://www.secpulse.com/archives/1713.html

SAP,domino,cfm,jboss等等各种Java应用架构

上周帮贺那边审计的代码;目录遍历这些;还有注入;SOAP接口的;strus.xml类似xml文件里面找接口的,反编译class文件;上传截断的%00,#

Rails这个也留意下;应用的漏洞胜过其他那些