随笔分类 -  网络安全

摘要:Haproxy 介绍 HAProxy是一个使用C语言编写的自由及开放源代码软件,其提供高可用性、负载均衡,以及基于TCP和HTTP的应用程序代理。 请求走私(Request smuggling)概念证明 使用下面的haproxy.cfg defaults mode http timeout http 阅读全文
posted @ 2019-11-01 17:19 艾斯泽 阅读(1948) 评论(0) 推荐(0)
摘要:什么是HTTP请求夹带(smuggling)攻击 HTTP请求走私是一种干扰网站处理从一个或多个用户接收的HTTP请求序列的方式的技术。 请求夹带漏洞危害,允许攻击者绕过安全控制,获取对敏感数据的未授权访问,并直接危及其他应用程序用户。 阅读全文
posted @ 2019-08-09 18:21 艾斯泽 阅读(5097) 评论(0) 推荐(0)
摘要:Nuxeo Platform是一款跨平台开源的企业级内容管理系统(CMS)。 nuxeo-jsf-ui组件处理facelet模板不当,当访问的facelet模板不存在时,相关的文件名会输出到错误页面上,而错误页面会当成模板被解析,文件名包含表达式也会被输出同时被解析执行,从而导致远程代码执行漏洞。 在漏洞挖掘过程中发现nuxeo-jsf组件默认在10.2没有安装,历史版本是默认就安装的。可以通过nuxeoctl mp-install nuxeo-jsf-ui 命令安装。 阅读全文
posted @ 2018-12-26 15:03 艾斯泽 阅读(1385) 评论(0) 推荐(0)