Struts 052 - REST插件远程代码执行[Poc]

漏洞影响 Struts 2.5 – Struts 2.5.12 版本, 漏洞概述 Struts2 REST插件使用带有XStream程序的XStream Handler进行未经任何代码过滤的反序列化操作,这可能在反序列化XML payloads时导致远程代码执行。任意攻击者都可以构造恶意的XML内容提升权限。 其实我觉得此次漏洞并非Struts的主要责任,问题出在XStream组件上 XStream介绍: XStream是一个Java对象和XML相互转换的工具。提供了所有的基础类型、数组、集合等类型直接转...

阅读全文>>

使用Gephi可视化分析博客友链引用关系

最近工作中一直在研究数据分析,试图在传统安全上做一些新的尝试,分析过程中用到了Gephi,此工具号称为“数据可视化领域的 Photoshop”,研究之余,突然想到以前写的一个用于爬取友情链接的小工具,然后发现爬取的数据信息正好可以用来练习使用Gephi,于是花了一点时间准备对友情链接进行数据可视化。                  一、爬虫             想要分析数据,...

阅读全文>>

Web安全日志分析浅谈


阅读全文>>

影片分类存档&推荐

高分电影Top10 Top1:肖申克的救赎 Top2:霸王别姬 Top3:这个杀手不太冷 Top4:美丽人生 Top5:海豚湾 Top6:阿甘正传 Top7:辛德勒名单 Top8:十二怒汉 Top9:盗梦空间 Top10:教父 最后补上一个:海上钢琴师 科幻电影类 超体 星际穿越 源代码 明日世界 ...

阅读全文>>

子域名、C段、同IP服务器查询工具1.0

之前搞了一个子域名查询的接口,由于数据太多服务器太渣,查询请求太多总是挂... 于是写了一个接口,做了一定限制,搞了一个简单查询的工具,直接上图: 虽然是学过java的人,但是以前很少写Swing,所以难免会有Bug。 Swing控件是单线程的,而跑域名用到了多线程,折腾实时显示是在是折腾了很久。另外你会发现可能ID不是按顺序输出的。 凑合着用... 下载链接:http://jeary.org/upload/JWebinfo.tar.gz

阅读全文>>