当前位置:

  • Tomcat信息泄漏和远程代码执行漏洞分析报告

    Tomcat信息泄漏和远程代码执行漏洞分析报告
    一. 漏洞概述 2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间,官方评级为高危,在一定条件下,攻击者可以利用这两个漏洞,获取用户服务器上 JSP 文件的源代码,...
    作者:独自等待 | 发布:2017年9月21日 | 分类: 代码审计 | 踩踏:11,898次 | 评论:2条
  • Tomcat 7.x下jspspy无法使用的解决方法

    Tomcat 7.x下jspspy无法使用的解决方法
    介绍 最近测试一项目,利用struts2成功搞定一个菜刀马,但是在查询数据库的时候,发现有问题,只能一次查询一条数据,很是无奈,于是决定使用jspspy的数据库管理功能,结果就发生杯具了。 jspspy在tomcat7下面报错: 成功上传了jspspy以后,发现直接访问就...
    作者:独自等待 | 发布:2015年4月17日 | 分类: 渗透测试 | 踩踏:10,437次 | 评论:4条
  • Struts2 S2-020在Tomcat 8下的命令执行分析

    Struts2 S2-020在Tomcat 8下的命令执行分析
    Struts S2-020这个通告已经公布有一段时间了。目前大家都知道这个漏洞可以造成DOS、文件下载等危害,相信各大厂商也已经采取了相应的安全措施。今天是和大家分享一下对这个漏洞的一点研究,包括如何在Tomcat 8下导致RCE,目的是抛砖引玉,有不足之处欢迎大...
    作者:独自等待 | 发布:2014年4月30日 | 分类: 代码审计 | 踩踏:12,604次 | 评论:抢沙发