首页
学习
活动
专区
工具
TVP
发布

FreeBuf

专栏作者
8086
文章
9121061
阅读量
349
订阅数
美司法部起诉中国“网络攻击”,故事开头要从Struts漏洞说起
当地时间2月10日,美国司法部宣布对中国军方的4名军人提起诉讼,理由是他们相互串谋侵入Equifax公司的计算机网络,并对这些计算机进行未经授权的访问,并窃取了大约1.45亿美国受害者的敏感个人身份信息。
FB客服
2020-02-26
6440
Java代码审计丨某开源系统源码审计
java源代码审计相关资料一直比较少,今天抽空给大家写一篇简单的开源代码审计,这是个做公司网站的开源模板,由于项目比较小,本次就针对几个比较严重的漏洞讲解一下发现的过程,其它的一些小漏洞,包括XSS一类的就不写了,希望给大家学习帮助。
FB客服
2018-07-31
1.1K0
现代版荆轲刺秦王:Struts2 REST插件漏洞分析
战国末期,大秦实力强盛,大有横扫六合之势,在灭了韩、赵两国后,下一个目标就是燕国。
FB客服
2018-07-30
3720
熟悉的Str2-045,不一样的认识
0x01 前言 Struts2漏洞频发的Java主流框架,在利用大佬们的poc或者工具时,我们又是否知道这个漏洞到底谁怎么产生的,那么一大串的POC到底是什么意思?准备从漏洞的调用链,到Bypass安全管理器到POC的拆分理解。 0x02漏洞概述: (说点废话)Struts是Apache基金会的一个开源项目,Struts框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设,是应用最广泛的Web应用框架之一。 漏洞编号:CVE-2017-5638 漏洞全称:基于Jakarta插件的插件的Struts远程
FB客服
2018-03-22
9331
Python编写的开源Struts2全版本漏洞检测工具
0x01 说明: 由于struts2框架频繁爆出漏洞,为方便安全从业人员检测并及时修复,遂将struts历史版本payload整合在一起(ST2-005至ST2-048)。 0x02 检测原理: 执行
FB客服
2018-02-27
2.8K0
用机器学习玩转恶意URL检测
前段时间漏洞之王Struts2日常新爆了一批漏洞,安全厂商们忙着配合甲方公司做资产扫描,漏洞排查,规则大牛迅速的给出”专杀”规则强化自家产品的规则库。这种基于规则库的安全防御总是处于被动的,所以趁着小假期对机器学习应用于威胁检测的这块做了些研究整理了下笔记,以方便大家日后交流学习。 本文参考了国外的一篇博文,英语好的可以直接看下原文,在这里记录了下研究检测模型实现的过程,因为也是最近才接触机器学习这块,有啥问题请大牛们指出。 先说重点,这篇文章使用逻辑回归的方式建立检测模型,对未知的 URL 进行恶意检测。
FB客服
2018-02-23
5.6K0
漏洞预警 | Apache Struts2 曝任意代码执行漏洞 (S2-045,CVE-2017-5638)
FreeBuf上次曝Struts 2的漏洞已经是半年多以前的事情了。 这次的漏洞又是个RCE远程代码执行漏洞。简单来说,基于Jakarta Multipart解析器进行文件上传时,利用漏洞可进行远程代
FB客服
2018-02-23
1.2K0
Struts2 s2-032远程代码执行分析
1. 介绍 Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。Struts 2以WebWork为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业务逻辑控制器能够与 ServletAPI完全脱离开,所以Struts 2可以理解为WebWork的更新产品。虽然从Struts 1到Struts 2有着太大的变化,但是相对于WebWork,Struts
FB客服
2018-02-08
5230
没有更多了
社区活动
Python精品学习库
代码在线跑,知识轻松学
热点技术征文第五期
新风口Sora来袭,普通人该如何把握机会?
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·干货材料·成员作品·最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档