crayonxiaoxin

2023年1月6日

CVE-2022-32532 Apache Shiro 身份认证绕过

摘要：漏洞名称 CVE-2022-32532 Apache Shiro 身份认证绕过利用条件 Apache Shiro < 1.9.1 漏洞原理使用RegexRequestMatcher进行权限配置时，若在其正则表达式带有"."时，未经授权的远程攻击者可通过构造恶意数据包绕过身份认证，导致配置的权限验阅读全文

posted @ 2023-01-06 18:25 crayonxiaoxin 阅读(380) 评论(0) 推荐(0)

Shiro-721反序列化漏洞

摘要：漏洞名称 Shiro-721(Apache Shiro Padding Oracle Attack）反序列化利用条件 Apache Shiro < 1.4.2 漏洞原理 Apache Shiro cookie中使用AES-128-CBC模式加密的rememberMe字段存在问题，用户可通过Padd 阅读全文

posted @ 2023-01-06 18:25 crayonxiaoxin 阅读(467) 评论(0) 推荐(0)

CVE-2020-1957

摘要：漏洞名称 Apache Shiro 认证绕过漏洞 CVE-2020-1957 利用条件 Apache Shiro < 1.5.1 漏洞原理 Apache Shiro 是一款开源安全框架，提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用，同时也能提供健壮的安全性。 CVE-2020-19 阅读全文

posted @ 2023-01-06 18:21 crayonxiaoxin 阅读(121) 评论(0) 推荐(0)

CVE-2016-4437

摘要：漏洞名称 Apache shiro 1.2.4反序列化漏洞(CVE-2016-4437) 利用条件 Apache Shiro <= 1.2.4 漏洞原理 Shiro提供了记住我(RememberMe)的功能，比如访问淘宝等网站时，关闭了浏览器下次再打开时还是能够记住上次访问过的用户，下次访问时无需再阅读全文

posted @ 2023-01-06 18:11 crayonxiaoxin 阅读(650) 评论(0) 推荐(0)

2023年1月5日

S2-032 CVE-2016-3081 远程代码执行

摘要：漏洞名称 CVE-2016-3081 S2-032 远程代码执行利用条件 Struts 2.3.20 - Struts Struts 2.3.28 ( 2.3.20.3 和 2.3.24.3 除外) 漏洞原理当启用动态方法调用时，可以传递可用于在服务器端执行任意代码的恶意表达式。 method: 阅读全文

posted @ 2023-01-05 09:47 crayonxiaoxin 阅读(233) 评论(1) 推荐(1)

2023年1月4日

S2-015 CVE-2013-2135, CVE-2013-2134

摘要：漏洞名称 S2-015(CVE-2013-2135, CVE-2013-2134) 利用条件 Struts 2.0.0 - Struts 2.3.14.2 漏洞原理原理一：一旦配置通配符*，访问 name.action 时使用 name.jsp 来渲染页面，但是在提取 name 并解析时，对其执行阅读全文

posted @ 2023-01-04 18:23 crayonxiaoxin 阅读(385) 评论(0) 推荐(0)

S2-016 CVE-2013-2251

摘要：漏洞名称 S2-016(CVE-2013-2251) 通过操作前缀为“action：”/“redirect：”/“redirectAction：”的参数引入的漏洞允许远程命令执行利用条件 Struts 2.0.0 – Struts 2.3.15 漏洞原理 struts2中，DefaultActio 阅读全文

posted @ 2023-01-04 18:22 crayonxiaoxin 阅读(343) 评论(0) 推荐(0)

萌新修行日志

公告