- 博客(9)
- 收藏
- 关注
RSS订阅原创 Craft CMS CVE-2025-32432
摘要: Craft CMS 3.0.0-RC1至5.6.17版本存在反序列化漏洞,攻击者可通过未授权请求触发远程代码执行(RCE)。漏洞位于图片转换功能处理逻辑中,利用恶意请求绕过CSRF校验(需有效资源ID)。Yii2框架路由分发后,未登录用户访问控制面板时,系统会302跳转至登录页并生成CSRF Token。修复方案为在特定动作中禁用CSRF验证。
2025-08-25 14:33:46
1057
原创 android最新版期末复习
开启新的Activity实现跳转功能,指定当前组件执行的动作,可以在不同组件的数据传递,一般用于Activity Service以及发送广播,危险权限指的是那些可能会触及用户隐私或者对设备安全性造成影响的权限,比如获取设备联系人信息,定位设备的地理位置,这些权限必须手动获得。需要动态申请权限的有:外部存储权限,相机,录音,传感器,读写日历,通讯录权限,消息权限,手机状态权限,定位权限。主要特征: 开放性,挣脱束缚,丰富的硬件平台,不受限制,使用Google资源。
2025-01-01 13:48:58
944
原创 android基础期末复习
ListView垂直滚动的列表项,可以自定义布局需要数据源,也就是LIst或者数组,然后还需要适配器,不使用默认布局那就需要自定义的布局xmllistView.setAdapter(new FruitAdapter(MainActivity.this,R.layout.fruit_item,items));//setAdapter是设置适配器,第一个是FruitAdapter是适配器的名字extends的是ArrayAdapter,第二个listview的布局,第三个是数据 listView.
2024-12-19 17:27:06
1172
原创 关于shiro漏洞的简单概述和大概使用方式(无图)
检查是否是shiro框架,Set-Cookie 中存在 rememberMe=deleteMe 字段,可以在cookie添加rememberMe=deleteMe;,然后就在那发一个请求类型,执行命令,但由于解析过程是反序列化->AES加密->BASE64加密->cookie值基本上遇见1.6.0之前的版本都可以用以下漏洞的方式来测一下,除了shiro721(费时间)
2023-07-31 23:57:30
225
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人