isxiaole的博客

MinIO 是一款基于Go语言发开的高性能、分布式的对象存储系统。由于MinIO组件中LoginSTS接口设计不当，导致存在服务器端请求伪造漏洞。攻击者可以通过构造URL来发起服务器端请求伪造攻击成功利用此漏洞的攻击者能够通过利用服务器上的功能来读取、更新内部资源或执行任意命令。

SpringBoot应用监控Actuator使用的安全隐患，导致漏洞利用getshell。

Solr简介Apache Solr是一个企业级搜索平台，用Java编写且开源，基于Apache Lucene项目。主要功能包括：full-text search 全文搜索hit highlightingfaceted searchdynamic clustering 动态聚类document parsing 文档解析Solr可以像数据库一样被使用：运行服务器，创建collection1从外部获取数据 - 向collection1发送不同类型的数据（例如文本，x

1、Apache Shiro介绍Apache Shiro是一个强大且易用的Java安全框架，执行身份验证、授权、密码和会话管理。使用Shiro易于理解的API，开发者可以快速、轻松地获得任何应用程序，从最小的移动应用程序到最大的网络和企业应用程序。2、漏洞介绍在Shiro <=1.2.4中，反序列化过程中所用到的AES加密的key是硬编码在源码中，当用户勾选RememberMe并登录成功，Shiro会将用户的cookie值序列化，AES加密，接着base64编码后存储在cookie的re.

redis未授权访问导致getshell redis未授权访问漏洞利用

漏洞概述Grafana 是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后，Grafana 可以在网络浏览器里显示数据图表和警告。需要注意的是该漏洞并不依赖于某个特定的插件，而是因为 Grafana 在解析插件路由的时候没有对输入进行有效过滤造成的任意文件读取。漏洞影响Grafana是否受影响8.x是漏洞复现本地搭建Grafana v8.2.6环境（搭建流程此处不再阐述），搭建后访问如下：访问http://127.0.0.1:3001/l.

环境：本实验使用vulfocus提供的Log4j2远程命令执行靶机。声明：文章所提供的内容和工具仅供于个人学习和研究，严禁传播者利用本文章的相关内容进行非法测试。由于传播、利用此文章所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。背景：Apache Log4j2是一款优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。影响版本：经验证 2.15.0-rc1 版本存在绕.