告别脚本小子系列丨JAVA安全(2)——JAVA反编译技巧
前言告别脚本小子系列是本公众号新开的一个集代码审计、安全研究和漏洞复现的专题,意在帮助大家更深入的理解漏洞原理和掌握漏洞挖掘的思路和技巧。我们将由浅入深的对java安全相关的技术进行讲解。
Apache Solr Velocity模板注入远程命令执行漏洞
原创:Mature合天智汇原创投稿活动:http://link.zhihu.com/?target=https%3A//mp.weixin.qq.
给前端开发者解释Log4j漏洞是什么回事
前段时间 Java Log4j 漏洞的话题非常火爆,漏洞影响的范围之大,也是前所未见。根据统计,包括谷歌,微软,腾讯,百度,滴滴,推特,京东,亚马逊等等公司的服务都存在漏洞,而他们的用户都是数以亿计。Log4j 漏洞导致这些用户的隐私数据有泄露的风险。
Log4j 漏洞不仅仅是修复,更需要构建有效预警机制
近日,被全球广泛应用的Java日志框架组件Apache Log4j被曝出一个高危漏洞,攻击者仅需一段代码就可远程控制受害者服务器,漏洞波及面和危害程度堪比2017年的“永恒之蓝”漏洞。
漏洞预警 | Fastjson远程代码执行0day漏洞
程序IT圈作者:小猿前段时间,阿里云云盾应急响应中心监测到FastJSON存在0day漏洞。攻击者可以利用该漏洞绕过黑名单策略进行远程代码执行。
Log4j2 Jndi 漏洞原理解析、复盘
实际上想要本地复现这个漏洞是并不简单的,所以为了后续可以更快速地理解,我们此处则需要重复几个概念:1、jndi 全名 Java Naming and Directory Interface,是用于目录服务的Java API,它允许Java客户端通过名称发现查找数据和资源。
Spring 出现了堪比 Log4j 的超级大漏洞?官方回应来了
截至 2022 年 3 月 31 日,Spring 已经确认了这一零日漏洞,并发布了修复性的 Spring Framework 5.3.18 与 5.2.20 版本。
Log4j 2 杀不死 Java
Java 作为顶级编程语言之一,已经在企业级软件开发领域活跃 25 年了。有人不断宣传 Java 已死,同时也有人坚称 Java 活得好好的。最近,又有报道称 log4j 2 漏洞将再次“杀死” Java。
【网络安全预警通报】关于Apache Solr反序列化远程代码执行漏洞的预警通报
北京网络与信息安全信息通报中心通报,近日,ApacheSolr官方披露出在ApacheSolr中存在的一个反序列化代码执行漏洞,该漏洞定级为高危漏洞。