Apache Shiro 550反序列化漏洞分析
基本概述Apache Shiro是一个开源的Java安全框架,用于身份验证、授权和加密。它提供了一个简单而强大的API,使开发人员能够轻松地实现安全功能。 Apache Shiro的主要功能包括: 身份验证:提供了用户身份验证的功能,包括基于用户名和密码的验证、基于令牌的验证(如JWT)以及自定义的验证方式。 授权:提供了对用户进行授权的功能,可以根据用户的角色、权限等进行访问控制。
Log4j2反序列化利用与分析
基本概述Apache Log4j是一个流行的Java日志框架,用于将应用程序的日志输出到不同的目标,如文件、控制台或远程服务器。 2021年被爆存在远程代码执行漏洞,CVE漏洞编号为CVE-2021-44228,该漏洞可能导致远程代码执行,该漏洞的根本原因在于Log4j2中的一个特性,它允许开发人员通过特殊的日志消息来触发远程代码执行。具体来说,当Log4j2解析包含特定的JNDI(Java命名和目录接口)引用的日志消息时,它将...
Fastjson后续版本绕过分析
fastjson<=1.2.25版本绕过fastjson1.2.25对之前的反序列化漏洞进行了修复,引入了 checkAutoType 机制,默认 autoTypeSupport 没有进行设置,是false,不能反序列化任何类,若开启,也会根...