摘要：程序在解压zip文件时，如果没有验证zip条目，攻击者可能对条目覆盖，从而造成路径遍历 例如：以下代码示例解压zip文件。 static final int BUFFER = 512; // . .. BufferedOutputStream dest = null; FileInputStream 阅读全文

摘要：所谓JWT也就是json web token，现在多用于用户认证。 传统的cookie加session认证流程如下： 1.用户输入账号密码，发送给服务器 2.服务器验证账号密码成功后，创建一个会话（Session），同时将这个会话（Session）的SessionID存于客户端（Cookie）中,然 阅读全文

摘要：转载来自：http://www.freebuf.com/column/161188.html 1、Console存在默认端口和默认密码/未授权访问(默认密码为admin:admin) ActiveMQ默认使用8161端口，使用nmap对目标服务器进行扫描： 2、ActiveMQ物理路径泄漏漏洞 Ac 阅读全文

摘要：文章来源：https://blog.csdn.net/qq1124794084/article/details/78044756 漏洞影响的tomcat版本为tomcat7.0.0-7.0.81版本 CVE-2017-12615漏洞利用需要在Windows环境，且需要将 readonly 初始化参数 阅读全文

摘要：jsp的文件包含分静态包含的动态包含两种： 静态包含:<%@include file="top.jsp"%> 动态包含：<jsp:include page="top.jsp" /> 两者的区别我就不赘述了。 就目前了解静态包含是不存在问题的，因为file的参数不能动态赋值 而动态包含是存在问题的 我 阅读全文