E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
samba漏洞
WEB-INF/web.xml泄露
漏洞
及其利用
前言之所以写这篇文章,是因为最近在做题的时候,做到了一个有关java的题目。因为对JavaWeb方面的开发经验很少,所以在做这道题的时候,查了一些关于JavaWeb相关的知识。感觉以后说不定还会用到,就以这篇文章来总结一下。关于WEB-INF/web.xml在了解WEB-INF/web.xml泄露之前,我们先要知道,web.xml是一个什么样的文件,以及它的泄露会出现哪些问题。咱们先来看看WEB-
入山梵行
·
2023-12-29 22:29
复现
漏洞
CTF
安全
java
CuppaCMS 文件上传(CVE-2020-26048)
漏洞
描述:CuppaCMS是一套内容管理系统(CMS)。
慕筱蚺
·
2023-12-29 22:57
web安全
chrome
Linux升级指南:保持系统安全和高效运行
Linux操作系统以其稳定性和可定制性而闻名,它经常通过升级来提供新的功能、修复
漏洞
和提高性能。在这篇文章中,我们将讨论Linux系统升级的重要性以及如何进行升级。
工业甲酰苯胺
·
2023-12-29 22:46
linux
系统安全
运维
『读书清单』见识6
果然,下午放学回来,罗列的事项里还是出现了
漏洞
。我气急败坏。其实,于他做事应该要完
我是柯笨笨
·
2023-12-29 22:44
思福迪运维安全管理系统 任意文件读取
漏洞
产品简介思福迪运维安全管理系统是思福迪开发的一款运维安全管理堡垒机
漏洞
概述由于思福迪运维安全管理系统GetCaCert路由存在任意文件读取
漏洞
,攻击者可通过该
漏洞
在服务器端读取任意文件敏感内容,可能导致攻击者后续获取到相关的服务器权限资产测绘
keepb1ue
·
2023-12-29 22:00
漏洞复现
运维
安全
web安全
用友时空KSOA sKeyvalue SQL注入
漏洞
复现
漏洞
概述用友时空KSOA/servlet/ima
keepb1ue
·
2023-12-29 22:00
漏洞复现
sql
数据库
web安全
思福迪运维安全管理系统 test_qrcode_b RCE
漏洞
复现
产品简介思福迪运维安全管理系统是思福迪开发的一款运维安全管理堡垒机
漏洞
描述由于思福迪运维安全管理系统test_qrcode_b路由存在命令执行
漏洞
,攻击者可通过该
漏洞
在服务器端任意执行代码,写入后门,获取服务器权限
keepb1ue
·
2023-12-29 22:30
漏洞复现
运维
安全
web安全
主网启动在即,你手中的EOS拿住了吗?
从三点钟玉红狠批EOS是今年最大的传销币,再到360揭露EOS最大技术
漏洞
,这几天的EOS一直处在负面消息的包围中,就连快的打车创始人陈伟星也没闲着,5号更是发贴直言“EOS是骗局,BM私吞40亿美金”
Linlink
·
2023-12-29 22:57
网神SecGate 3600防火墙app_av_import_save任意文件上传
漏洞
漏洞
描述网神SecGate3600存在app_av_import_save任意文件上传
漏洞
,攻
keepb1ue
·
2023-12-29 21:52
漏洞复现
安全
web安全
weblogic 文件上传 (CVE-2018-2894)
漏洞
复现
1.
漏洞
描述OracleFusionMiddleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。
weixin_42675091
·
2023-12-29 20:26
安全
web安全
【vulhub】Weblogic任意文件上传
漏洞
(CVE-2018-2894)
前言WebServiceTestPage在‘生产模式’下默认不开启,所以该
漏洞
有一定限制。两个页面分别为/ws_utc/begin.do、/ws_utc/config.do。
Crazy_Yu8
·
2023-12-29 20:26
WebLogic
安全
【
漏洞
复现】CVE-2018-2894-weblogic任意文件上传
http://192.168.77.141:7001-->404页面-->http://192.168.77.141:7001/console后台登录页面设置base_domain-->启用web服务测试页
漏洞
详情
net user
·
2023-12-29 20:56
漏洞复现
web安全
weblogic任意文件上传
漏洞
复现(CVE-2018-2894)
weblogic任意文件上传
漏洞
复现(CVE-2018-2894)
漏洞
限制环境搭建
漏洞
复现使用工具
漏洞
限制需要登录需要写权限环境搭建本次
漏洞
为了更真实的模拟实际环境,使用vulhub在vps上搭建。
dydymm
·
2023-12-29 20:56
渗透测试
安全
网络安全
web安全
Weblogic 任意文件上传
漏洞
(CVE-2018-2894)复现
目录weblogic
漏洞
环境准备
漏洞
复现修复建议weblogicWebLogic是美国Oracle公司出品的一个applicationserver,确切的说是一个基于JAVAEE架构的中间件,WebLogic
Dalean.
·
2023-12-29 20:55
web安全
web安全
WebLogic 任意文件上传(CVE-2018-2894)
漏洞
复现
WebLogic任意文件上传(CVE-2018-2894)
漏洞
复现一、
漏洞
概述1、
漏洞
编号:CVE-2018-28942、
漏洞
描述:Weblogic管理端未授权的两个页面存在任意上传getshell
漏洞
橘子女侠
·
2023-12-29 20:25
kali
Linux
渗透测试
漏洞复现
weblogic 任意文件上传
漏洞
(CVE-2018-2894)
一、利用docker启动测试环境搭建环境:docker-composeup-d查看weblogic后台登录密码:docker-composelogs|greppassword二、复现过程
漏洞
成因:weblogic
寻_无聊人
·
2023-12-29 20:25
web漏洞复现
web安全
Weblogic CVE-2018-2894 任意文件上传
漏洞
CVE-2018-2894
漏洞
简介环境搭建
漏洞
复现
漏洞
简介Oracle7月更新中,修复了WeblogicWebServiceTestPage中一处任意文件上传
漏洞
,WebServiceTestPage在
又一次花海
·
2023-12-29 20:55
web安全
服务器
Weblogic 任意文件上传
漏洞
(CVE-2018-2894)
漏洞
详细影响范围:OracleWebLogicServer10.3.6.0版本,12.1.3.0版本,12.2.1.2版本,12.2.1.3版本。
小 白 萝 卜
·
2023-12-29 20:52
vulhub漏洞复现
weblogic
安全
Weblogic任意文件上传
漏洞
(CVE-2018-2894)
漏洞
描述:Weblogic管理端未授权的两个页面存在任意上传jsp文件
漏洞
,进而获取服务器权限。
慕筱蚺
·
2023-12-29 20:21
python
网络安全
web安全
Easy File Sharing Web Server
漏洞
复现任务和Metasploit应用
实验环境:win7靶机,kali一EasyFileSharingWebServer
漏洞
复现任务首先在win7的靶机上配置好EasyFileSharingWebServer,打开之后如下图直接点击Tryit
dawsw
·
2023-12-29 18:48
学习
samba
服务器访问不到
查看
samba
使用的端口号netstat-tlnp|grepsmb允许防火墙对端口的配置sudoufwallow139/tcpsudoufwallow445/tcp
MilesMatheson
·
2023-12-29 18:16
服务器
网络
linux
Apache OFBiz 远程代码执行
漏洞
(CVE-2023-51467)
漏洞
概述该系统的身份验证机制存在缺陷,可能允许未授权用户通过绕过标准登录流程来获取后台访问权限。
3tefanie丶zhou
·
2023-12-29 18:40
漏洞复现
apache
web安全
安全
天擎终端安全管理系统clientinfobymid存在SQL注入
漏洞
漏洞
概述奇安信天擎终端安全管理系统控制台clientinfobymid接口处存在SQL注入
漏洞
,攻击者除了可以利用该SQL注入
漏洞
获取数据库中的
3tefanie丶zhou
·
2023-12-29 18:40
漏洞复现
安全
sql
网络
科荣AIO UtilServlet存在任意文件读取
漏洞
文章目录产品简介
漏洞
概述指纹识别
漏洞
利用修复建议产品简介科荣AIO是一款企业管理软件,提供企业一体化管理解决方案。
3tefanie丶zhou
·
2023-12-29 18:37
漏洞复现
网络安全
防火墙之服务器安全检测和防御技术
一、服务器安全风险1、不必要的访问(如只提供HTTP服务)2、外网发起IP或者端口扫描、DDOS攻击等3、
漏洞
攻击(针对服务器操作系统等)4、根据软件版本的已知
漏洞
进行攻击,口令暴力破解,获取用户权限;
慕容天成
·
2023-12-29 17:11
服务器
安全
运维
主流笔记本电脑出现Windows Hello指纹识别身份身份验证
漏洞
事件详情:在近日举行的BlueHat安全大会上,研究人员演示了如何利用嵌入式指纹传感器中的一个安全
漏洞
绕过戴尔、联想和微软品牌笔记本电脑上的WindowsHello指纹身份验证。
威胁情报收集站
·
2023-12-29 16:36
电脑
单片机
嵌入式硬件
威胁分析
关于美国国防承包商 Belcan 爆出
漏洞
,泄露了一系列管理员数据的动态情报
一、基本内容美国政府和国防承包商Belcan将其超级管理员证书向公众开放,一个失误就导致严重的供应链攻击。Belcan是一家政府、国防和航空航天网络承包商,提供全球设计、软件、制造、供应链、信息技术和数字工程解决方案。据报道,该公司在2022年的收入为9.5亿美元,是40多个美国联邦机构信赖的战略合作伙伴。二、相关发声情况5月15日,Cybernews研究小组发现了一个开放的Kibana实例,其中
威胁情报收集站
·
2023-12-29 16:06
安全
web安全
威胁分析
关于Ivanti 曝新的 MobileIron 零日
漏洞
,正在被恶意利用的动态情报
一、基本内容美国IT软件公司Ivanti于2023年8月23日提醒客户,一个关键的SentryAPI身份验证绕过
漏洞
正在被恶意利用。
威胁情报收集站
·
2023-12-29 16:06
威胁分析
网络
安全
web安全
关于苹果iOS 16:揭开伪装成飞机模式的隐形蜂窝接入
漏洞
的动态情报
一、基本内容在日常生活中,网络威胁不断演变,给个人和组织带来了一系列重大挑战。网络犯罪分子使用的一种最常见的、最具破坏性的方法之一就是网络钓鱼。这种攻击方式通过电子邮件、短信或其他通讯渠道冒充可信实体,诱使个人泄露敏感信息,如用户名、密码或信用卡等详细信息。钓鱼网站是网络钓鱼攻击的一种常见手段。这种恶意网站的设计和技术含量并不高,往往利用人们贪图便宜的心理或者利用部分网民防范欺诈意识的薄弱。一旦个
威胁情报收集站
·
2023-12-29 16:02
威胁分析
安全
网络
为什么有的人知道那么多道理,却过不好自己的人生?
但是道理的正确是有条件的,如果你只细想想,这个道理其实
漏洞
很多。下面我给你分
米卡Mikca
·
2023-12-29 16:05
网安入门11——文件上传(前后端绕过,变形马图片马)
这里使用一个全新的靶场——Upload-LabsUpload-Labs是一个使用PHP语言编写、专注于文件上传
漏洞
的闯关式网络安全靶场。
挑不动
·
2023-12-29 16:11
CISP-PTE备考之路
安全
网安入门00-OWASP Top 10 2021
OWASPTop10是OWASP发布的一份针对Web应用程序的安全
漏洞
报告。该报告列出了Web应用程序中最常见和最危险
挑不动
·
2023-12-29 16:11
CISP-PTE备考之路
网络
安全
网安入门07-Sql注入(二次注入)
看不到后端代码,只能依靠前端页面显示来判断是否有注入点白盒测试:可以看到后端代码,进行代码审计分析注入点白+黑:既可以看到后端代码,也可以看到前端页面的回显实战中黑盒占80%,客户提供源码白盒占5%,通过
漏洞
挖出源代码白
挑不动
·
2023-12-29 16:38
CISP-PTE备考之路
sql
数据库
Jetty WEB-INF文件读取(CVE-2021-34429)
漏洞
描述:可以使用一些编码字符来制作URI,以访问WEB-INF目录的内容和/或绕过一些安全限制。默认合规模式允许带有包含%u002e段的URI的请求访问WEB-INF目录中的受保护资源。
慕筱蚺
·
2023-12-29 16:31
jetty
前端
jquery文件上传(CVE-2018-9207)
漏洞
描述:jQuery是一个快速、简洁的JavaScript框架,是继Prototype之后又一个优秀的JavaScript代码库(框架)于2006年1月由JohnResig发布。
慕筱蚺
·
2023-12-29 16:31
android
Jetty Servlets URI路径限制绕过
漏洞
(CVE-2021-28169)
漏洞
描述:JettyServlets中的ConcatServlet、WelcomeFilter类存在多重解码问题,当应用到这两个类之一时,攻击者就可以利用双重URL编码绕过限制来访问WEB-INF目录下的敏感文件
慕筱蚺
·
2023-12-29 16:31
安全
Supervisord 远程命令执行
漏洞
(CVE-2017-11610)
漏洞
描述:Supervisord是使用Python开发的进程管理程序,Supervisord能够将命令行进程或服务变为后台运行的deamon(守护进程)。
慕筱蚺
·
2023-12-29 16:26
python
网络安全
web安全
警惕商家利用平台
漏洞
诈骗已经多人中招,谁来维护消费者合法权益?
改革开放成就了深圳特区,而经济特区成就了华强北这个神奇地方,这里电子产品一天24小时源源不断销往全世界国各地,好多国家地区的“倒爷”纷纷加入这个队伍,让这个地方越来越神奇,不得不怀疑是不是全世界高级人才全部流入华强北。有人发现苹果公司没有公开发行一部手机之前,华强北已经帮苹果公司想好下一代产品的机样直接上市。总之只有你想不到,没有华强北做不到的东西。快,便,靓,实惠,新奇让华强北在世界各地众多电子
昌锠
·
2023-12-29 16:52
渗透测试和风险评估之间的区别
渗透测试通过模拟真实攻击场景,发现系统中的
漏洞
和弱点,并提供修复建议。渗透测试通常包括以下步骤:信息收集、
漏洞
扫描、
漏洞
利用、权限提升和结果报告。
德迅云安全-小娜
·
2023-12-29 15:32
安全
web安全
网络
web渗透安全学习笔记:1、入门基础知识/ XXS
漏洞
前言自编写python渗透工具编写学习笔记专栏以来,笔者便发现了一个较为严重的问题:我们大多数文章都是学习如何用python编写扫描与利用
漏洞
的渗透工具,却没有真正解析
漏洞
的形成原因,长此以往我们的学习就只会浮于表面
Knight ELeven
·
2023-12-29 14:45
web渗透安全学习笔记
学习
笔记
web安全
网络安全
安全
漏洞
复现(三):Apache HTTP Server
漏洞
(CVE-2021-41773 - 目录穿越引起的文件读取与命令执行)
目录
漏洞
简介
漏洞
复现一.Vulnerablefilereadconfig(易受攻击的文件读取配置)环境搭建
漏洞
利用二、VulnerableRCEconfig(易受攻击的RCE配置)环境搭建
漏洞
利用
漏洞
修复
漏洞
简介该
漏洞
是由于
源十三
·
2023-12-29 13:32
apache
http
安全
Apache Druid LoadData 任意文件读取
漏洞
CVE-2021-36749
0x01
漏洞
简介在Druid系统中,InputSource用于从某个数据源读取数据。
hana-u
·
2023-12-29 13:32
安全
web安全
服务器
Apache Druid任意文件读取
漏洞
(CVE-2021-36749)
1.
漏洞
描述ApacheDruid是一个集时间序列数据库、数据仓库和全文检索系统特点于一体的分析性数据平台。
chaojixiaojingang
·
2023-12-29 13:31
apache
apache-CVE-2021-41773[42013]-
漏洞
复现
apache-CVE-2021-41773[42013]CVE-2021-41773影响范围为2.4.49CVE-2021-42013影响范围为2.4.49/50
漏洞
验证41773和42013在10月份时
csd_ct
·
2023-12-29 13:30
信息安全
安全
web安全
apache
目录遍历
远程命令执行
Apache Druid 任意文件读取
漏洞
CVE-2021-36749
CVE-2021-36749gobyexp声明代码poc集合声明本程序仅供于学习交流,请使用者遵守《中华人民共和国网络安全法》,勿将此脚本用于非授权的测试,脚本开发者不负任何连带法律责任。代码{"Name":"ApacheDruidAbritraryFileReadCVE-2021-36749","Level":"3","Tags":["fileread"],"GobyQuery":"title=
aetkrad
·
2023-12-29 13:00
exp
apache
goby
exp
druid
CVE-2021-36749
CVE-2021-41773(Apache 文件读取&命令执行)复现
0.
漏洞
描述1、ApachehttpdServer2.4.49版本引入了一个具有路径穿越
漏洞
的新函数,但需要配合穿越的目录配置Requireallgranted,攻击者可利用该
漏洞
实现路径穿越从而读取任意文件
張童學
·
2023-12-29 13:29
渗透测试
apache
安全
apache 文件读取&命令执行(CVE-2021-41773)
漏洞
描述:CVE-2021-41773
漏洞
是在9月15日发布的2.4.49版中对路径规范化所做的更改引入到ApacheHTTPServer中的。
慕筱蚺
·
2023-12-29 13:28
apache
SSRF - ctfhub - 1【内网访问、伪协议读取、端口扫描、POST详解、上传文件】
写在前面ssrf无论是生活中还是比赛中都是一种非常常见的
漏洞
。但一般来说单独考察的较少。后面将从ctfhub和其他平台上来慢慢练习。
sayo.
·
2023-12-29 12:07
网络安全
SQL注入-md5加密参数
漏洞
(CTF例题)
漏洞
成因php中的md5函数有一个可选参数,如果开发者写查询数据库函数时使用了这个参数,或者在数据存储时是md5后的字符串形式存储,都有可能产生这个
漏洞
。
sayo.
·
2023-12-29 12:06
网络安全
sql
php
md5
网络安全
信息安全
PHP反序列化-__wakeup()方法
漏洞
(CVE-2016-7124)
写在前面wakeup()是在反序列化的基础之上进行的,如果你不是很清楚反序列化
漏洞
,可以点击下方:反序列化
漏洞
漏洞
影响的版本PHP5";classctf{protected$username='hack
sayo.
·
2023-12-29 12:05
网络安全
php
安全漏洞
网络安全
信息安全
面向对象编程
上一页
79
80
81
82
83
84
85
86
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他