Badcode


  • 首页

  • 归档

Adobe ColdFusion RCE(CVE-2019-7839)

发表于 2019-07-09
漏洞简介​ Adobe ColdFusion 是一个商用的快速开发平台。它可以作为一个开发平台使用,也可以提供Flash远程服务或者作为 Adobe Flex应用的后台服务器 。 ​ 2019年06月11日,Adobe 发布安全公告,修复了Adobe ColdFusion ...
阅读全文 »

WebLogic RCE(CVE-2019-2725)漏洞之旅

发表于 2019-04-30
4172019年4月17日,CNVD 发布《关于Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞的安全公告》,公告指出部分版本WebLogic中默认包含的wls9_async_response包,为WebLogic Server提供异步通讯服务。由于该WAR包在反 ...
阅读全文 »

Confluence Unauthorized RCE Vulnerability(CVE-2019-3396) Analysis

发表于 2019-04-10
On March 20, 2019, Confluence released a security alert, there was a server-side template injection vulnerability(CVE-2019-3396) in Confluence Server ...
阅读全文 »

Confluence 未授权RCE(CVE-2019-3396)漏洞分析

发表于 2019-04-10
看到官方发布了预警,于是开始了漏洞应急。漏洞描述中指出Confluence Server与Confluence Data Center中的Widget Connector存在服务端模板注入漏洞,攻击者能利用此漏洞能够实现目录穿越与远程代码执行。 确认漏洞点是Widget Connector,下载最 ...
阅读全文 »

ECShop 0day的堕落之路

发表于 2018-09-04
背景 ECShop是一款B2C独立网店系统,适合企业及个人快速构建个性化网上商店。系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序。2018年6月13日,知道创宇404积极防御团队通过知道创宇旗下云防御产品“创宇盾”防御拦截并捕获到一个针对某著名区块链交易所网站的攻击,通过分析,发 ...
阅读全文 »

MetInfo 任意文件读取漏洞的修复与绕过

发表于 2018-08-20
404实验室内部的WAM(Web应用监控程序)监控到 MetInfo 版本更新,并且自动diff了文件,从diff上来看,应该是修复了一个任意文件读取漏洞,但是没有修复完全,导致还可以被绕过,本文就是记录这个漏洞的修复与绕过的过程。 漏洞简介MetInfo是一套使用PHP和Mysql开发的内容管理系 ...
阅读全文 »

Spring MVC 目录穿越漏洞(CVE-2018-1271)分析

发表于 2018-08-14
漏洞简介2018年04月05日,Pivotal公布了Spring MVC存在一个目录穿越漏洞(CVE-2018-1271)。Spring Framework版本5.0到5.0.4,4.3到4.3.14以及较旧的不受支持的版本允许应用程序配置Spring MVC以提供静态资源(例如CSS,JS,图像) ...
阅读全文 »

NagiosXI <= 5.4.12 多个SQL注入漏洞

发表于 2018-05-26
漏洞简介Nagios 是一款开源的免费网络监视工具,能有效监控 Windows、Linux和 Unix 的主机状态,交换机路由器等网络设备,打印机等。在系统或服务状态异常时发出邮件或短信报警第一时间通知网站运维人员,在状态恢复后发出正常的邮件或短信通知。Nagios XI 在小于等于 5.4.12 ...
阅读全文 »

Metinfo 6.0.0 任意文件读取漏洞

发表于 2018-05-26
漏洞简介MetInfo是一套使用PHP和Mysql开发的内容管理系统。 MetInfo 6.0.0版本中的 old_thumb.class.php文件存在任意文件读取漏洞。攻击者可利用漏洞读取网站上的敏感文件。 漏洞影响 MetInfo 6.0.0 漏洞分析看下\MetInfo6\app\syst ...
阅读全文 »

WebLogic 动态调试环境搭建

发表于 2018-05-20
背景简介​WebLogic 是美国Oracle公司出品的一个 application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic 是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将 Java 的动态功能和 Java En ...
阅读全文 »
12

Badcode

学习经历

18 日志
4 标签
© 2019 Badcode
由 Hexo 强力驱动
|
主题 — NexT.Muse v5.1.3