JAVA安全网
Apache Shiro 权限绕过漏洞分析(CVE-2020-13933)
漏洞简述 Apahce Shiro 由于处理身份验证请求时出错 存在 权限绕过漏洞,远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。 风险等级 高危 影响版本 Apache Sh...
漏洞分析
Fastjson 1.2.68 最新版本有限制 autotype bypass
关于漏洞 该漏洞和以往的 autotype bypass 不同,要求 gadget 必须继承自 Throwable 异常类,所以常见的 JNDI gadget 就无法在此处使用。 所以只能找在异常类中的构造方法、se...
shiro权限绕过漏洞分析(CVE-2020-1957)
Author:spoock 环境搭建 根据 Spring Boot 整合 Shiro ,两种方式全总结!。我配置的权限如下所示: @Bean ShiroFilterFactoryBean shiroFilterFac...
Shiro RememberMe 1.2.4 反序列化导致的命令执行漏洞
rungobier (知道创宇404安全实验室) 概述 Apache Shiro 在 Java 的权限及安全验证框架中占用重要的一席之地,在它编号为550的 issue 中爆出严重的 Java 反序列化漏洞。下面,我...
代码审计-dubbo admin <=2.6.1远程命令执行漏洞
Author: Ramos 欢迎更多javaer投稿,让更多的人学习。 前置 输入材料 安全目标和需求 架构分析 供应链安全 源代码审查 依赖结构矩阵(Dependency Structure Matrice...