fastjson 远程代码执行漏洞
最近发现fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞,为了保证系统安全,请升级到1.2.28/1.2.29或者更新版本。 官方公告:https://github.com/alibaba/fastjson/wiki/security_update_20170315 这个可能存在的远程代码执行漏洞产生的原因是fastjson反序列化json字符串为java对象的时候autoT...
阅读全文Struts2 S2-045 远程OGNL表达式执行漏洞
Struts2在解析请求的时候会主动把MULTIPART请求给解析成参数,这里的MULTIPART请求被解析了两遍。一遍是框架解析的,另一遍是那个自带的插件解析的。两个地方判断是否是文件上传请求的时候的代码不一致,导致了error。 Struts2的验证是否是MULTIPART的方式: 
Mac OS sierra 更新后不再PPTP支持了,从国内的mac分享破解软件里面找的Shimo都不兼容。从google翻到了个Shimo-4.1.4.2破解版,测试可用。  下载地址:[Shimo-4.1.4.2.dmg](https://www....
阅读全文Gogland 发布 - JetBrains Go IDE
三年前JetBrains公司决定开发[Golang插件](https://github.com/go-lang-plugin-org/go-lang-idea-plugin/),如今JetBrains 终于发布了一款全新的Go IDE-Gogland。 官方网站:https://www.jetbrains.com/go/ ,目前需要提交申请才能获取下载地址。 ](http://zone.wooyun.org/content/11423) 原文简单的描述了PHP在处理POST请求的时候会解析multipart/form-data的内容。 那么这个multipart/form-data到底是个啥呢? [![1]...
阅读全文DNS Records (ANY)
这是一个来自Rapid7的LDNS库,包含了大约5亿域名A记录. ``` Dataset Details The dataset contains snapshots taken within a timeframe of maximum 8 hours each. New snapshots will be added as additional data is collected. The f...
阅读全文java reflect cmd
看了 @[动后河](http://zone.wooyun.org/user/动后河) [jsp上传cmd马却遇到防火墙的绕过方法](http://zone.wooyun.org/content/23043),很久以前和 @[xcoder](http://zone.wooyun.org/user/xcoder) 师傅搞过类似的东东。贴出我的执行CMD利用代码: ```java import java...
阅读全文共 204 条记录