1. 漏洞简介2017年9月28日,公司扫描器发现某业务存在一例任意文件读取漏洞,团队跟进分析后发现这是Node.js和Express共同导致的一个通用漏洞。在我们准备告知官方时,发现Node.js官...
网络安全
网络安全
网络安全
spark未授权RCE漏洞
Spark简介spark是一个实现快速通用的集群计算平台。它是由加州大学伯克利分校AMP实验室 开发的通用内存并行计算框架,用来构建大型的、低延迟的数据分析应用程序。它扩展了广泛使用的MapReduc...
Redis 远程代码执行漏洞
1,利用redis漏洞,远程登录服务器1.1 登录远程 redis 并写入ssh公钥# redis-cli -h 192.168.168.168 -p 6379 -a 123456# 设置路径等配置(...
网络安全
Redis漏洞利用与防御
前言Redis在大公司被大量应用,通过笔者的研究发现,目前在互联网上已经出现Redis未经授权病毒似自动攻击,攻击成功后会对内网进行扫描、控制、感染以及用来进行挖矿、勒索等恶意行为,早期网上曾经分析过...
Spring Boot (27) actuator服务监控与管理
actuaotr是spring boot项目中非常强大的一个功能,有助于对应用程序进行监控和管理,通过restful api请求来监管、审计、收集应用的运行情况,针对微服务而言它是必不可少的一个环节。...
Hadoop&hbase监控页面未授权访问漏洞处理方案验证过程实现
Hadoop&hbase监控页面未授权访问漏洞处理方案验证Hadoop:监控页面授权登录配置步骤:1 页面弹出框授权1.1页面弹出框授权配置1.上传附件的jar包hadoop-http-aut...
网络安全
Hive任意命令/代码执行漏洞+渗透实例
hive是基于Hadoop的一个数据仓库工具,可以将结构化的数据文件映射为一张数据库表,并提供简单的sql查询功能,可以将sql语句转换为MapReduce任务进行运行最近遇到hive,查下了相关漏洞...
网络安全
编写Spring Cloud Config Server路径穿越漏洞全面检测脚本
Spring Cloud Config Server路径穿越漏洞(CVE-2019-3799)的分析文章已经很多了,这里我不在画蛇填足。在分析该漏洞之后,发现了一些小细节,感觉对该漏洞检测还是挺有帮助...
JAVA
JSON Web Token 入门教程
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,本文介绍它的原理和用法。一、跨域认证的问题互联网服务离不开用户认证。一般流程是下面这样。1、用户向服务器发送用户名和密码。2...
idea:new没有class
如果你使用的是maven来管理项目,执行以下命令即可 cd 项目跟目录(和pom.xml同级)mvn clean package## 或者执行下面的命令## 排除测试代码后进行打包mvn c...
