摘要： Weblogic中存在一个SSRF漏洞，利用该漏洞可以发送任意HTTP请求，进而攻击内网中redis、fastcgi等脆弱组件。 修复方式： 1.删除server/lib/uddiexplorer.war下的相应jsp文件。 #> jar -xvf uddiexplorer.war #> rm js 阅读全文

摘要： 描述：部分版本WebLogic中默认包含的wls9_async_response包，为WebLogic Server提供异步通讯服务。由于该WAR包在反序列化处理输入信息时存在缺陷，攻击者可以发送精心构造的恶意 HTTP 请求，获得目标服务器的权限，在未授权的情况下远程执行命令。 具体原理分析自行百 阅读全文

摘要： Apache Shiro是一个Java安全框架，执行身份验证、授权、密码和会话管理。 shiro默认使用了CookieRememberMeManager，其处理cookie的流程是：得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的，就 阅读全文