安全
关注
分享
扫一扫
悟●禅●酒
能考一百分的人,你怎么知道他能考一百分是因为他的能力只有一百还是因为卷子的上限只有一百。
展开
-
Apache Log4j2远程代码执行漏洞
风险描述 Apache Log4j2被爆出存在远程代码执行漏洞。因Apache Log4j2提供的lookup功能存在缺陷,会将记录的错误日志进行解析并加载,导致攻击者可利用该漏洞在目标服务器上执行任意代码。该组件应用范围较广,Apache Struts2、Apache Solr、Apache Druid、Apache Flink、ElasticSearch、kafka、Redis、logstash、docker等应用均可能受到影响。影响范围Apache log4j 2.0-2....原创 2021-12-10 15:52:02 · 3223 阅读 · 0 评论 -
XXL-JOB漏洞解决,Eclipse Jetty HTTP请求走私漏洞
可能我使用的xxl-job版本比较老,今天安全组检查,查出来一堆堆,分享下:原创 2021-05-29 09:23:45 · 3066 阅读 · 0 评论 -
JAVA 生成验证码,防爬虫、外挂等软件自动登录或者刷票
要防止防爬虫、外挂等软件自动登录或者刷票,验证码和校验方式肯定不能再前台完成,如果在前台完成,只要程序猿解读了客户端获取和校验的方式,大门就如同虚设。其实思路很简单,操作如下:在后台生成验证码和验证码图片。通过Redis或者关系库,存储验证码和验证码对应的唯一标识(如:uuid)将验证图片和唯一标识返给前端(这样,前端就没有验证码信息了)验证:将用户根据图片输入的验证码和唯一标识返给后端,通过唯一标识取出验证码和用户输入的比对。代码如下:验证码工具类:VerifyCodeUtilsimp原创 2021-01-27 13:15:42 · 723 阅读 · 0 评论 -
Apache Struts2 存在远程代码执行漏洞(CVE-2020-17530)
风险描述:近期,Apache Struts 官方披露Struts2 组件存在远程代码执行漏洞(CVE-2020-17530),该漏洞是由于Struts2 标签功能中的OGNL 表达式验核存在设计缺陷,可被攻击者恶意篡改,注入恶意程序代码,绕过表达式合规性验证,从而造成远程代码执行。影响范围:使用2.0.0 至2.5.25 版本Struts2 组件的业务系统。处置方法目前Apache 官方针对上述漏洞已发布补丁,可通过升级至Struts2 2.5.26版本修复该漏洞。下载地址:https://st原创 2020-12-20 11:54:12 · 1392 阅读 · 2 评论