2019-12-20 Apache Shiro 反序列化漏洞实战
提交作者: BaCde 所属分类: Web安全, 漏洞分析
Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。2016年,网络中曝光1.2.4以前的版本存在反序列化漏洞。尽管该漏洞已经曝光几年,但是在实战中仍然比较实用。花了点时间研究了下,并根据网络上的利用脚本改进。主要修改了检测方式,并使利用方式更加简单灵活,使其更具有实战意义,提升其效率。
简评
相关资讯
Spring Boot中关于%2e的Trick
从 CVE-2020-17144 看实战环境的漏洞武器化
Taking over Azure DevOps Accounts with 1 Click
SSRF on Zimbra Led to Dump All Credentials in Clear Text
通达OA 任意用户登录漏洞(匿名RCE)分析
Critical CSRF to RCE bug chain in Prestashop v1.7.6.4 and below
iPhone Camera Hack
Java SSTI漏洞审计
windows hash 抓取总结
