redis 漏洞
- 前后端分离项目安全漏洞修复总结
-
最近项目被安全扫描由于项目设计有问题,暴出来了一些漏洞,在修复的过程中特把经验总结分享。1.前后端分离和传统架构介绍项目架构1.1前后端不分离在前后端不分离的应用模式中,前端页面看到的效果都是由后端控制,由后端渲染页面或重定向,也就是后端需要控制前端的展示,前端与后端的耦合度很高。这种应用模式比较...
- Apache Log4j存在远程代码执行漏洞
-
2021年12月9日,星云博创摘星实验室监测到网上ApacheLog4j的远程代码执行漏洞细节被公开,大量的业务框架都使用了该组件。此次漏洞是用于Log4j2提供的lookup功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。该漏洞一旦被攻击者利用会造成严重危害。经过快速分...
- 网络安全之Springboot heapdump信息泄露复现
-
大家都知道,Springboot是JAVA开源的轻量级设计层框架,程序员如果对该框架配置不当就会遇到各种各样的信息漏洞情况,比如Springboot的actuator是对应用系统监控的配置,在护网行动或者攻防演练的场景里,经常会发现企业配置actuator不当导致一些敏感信息泄露的情况,比如服...
- Log4j 爆“核弹级”漏洞,蛋蛋教你紧急修复,速改
-
大家好,我是蛋蛋!昨天,手机突然收到腾讯云的一条短信,提示发现Log4j2远程代码执行漏洞,需要我进行紧急修复,立马关注了一下;漏洞描述ApacheLog4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来...
- 常见未授权访问漏洞详解
-
简介未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。常见的未授权访问漏洞未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据...
- 启明星辰:首例 RedisDDOS 样本捕获背后的故事
-
2015年11月16日,国内著名安全研究团队启明星辰积极防御实验室成功捕获了国内首例利用Redis漏洞实现的DDOS僵尸网络控制样本。自Redis漏洞被公布以来,网络空间出现了大量利用该漏洞的攻击事件,但利用该漏洞快速部署僵尸程序,并通过僵尸网络实施高强度的分布式拒绝服务攻击还是首例。深厚的攻防技术...
- ssrf漏洞复现,黑客利用漏洞打穿内网,危险了服务器
-
SSRF(Server-SideRequestForgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统。(因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人)SSRF形成的原因...
- web实战开发--利用redis漏洞 Hacker对方机器的
-
前言:服务器端的安全问题,以前有所耳闻,听得最多的就是DDOS攻击,还有就是缓冲区溢出攻击.但是对通过Redis服务的安全漏洞,从而绕过验证,登陆对方机器,这算是第一次耳闻.今天趁此机会,来谈一下,hacker对方机器的原理是什么?linux的信任机制:做个互联网运维的工程师,需要...
- Log4j 爆“核弹级”漏洞,Flink、Kafka等至少十多个项目受影响
-
作者|褚杏娟昨晚,你熬夜应急了吗?昨晚,对很多程序员来说可能是一个不眠之夜。12月10日凌晨,Apache开源项目Log4j的远程代码执行漏洞细节被公开,由于Log4j的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。据悉,ApacheLog4j2.x<=2.14....
- Redis未授权漏洞蜜罐模拟与捕获分析
-
1.概述文章主要分析Redis未授权漏洞的原理及形成原因,使用vulhub靶场进行漏洞复现,在了解漏洞原理并复现的基础上使用golang编写蜜罐代码进行模拟,开放端口在网上捕获真实存在的恶意攻击行为,对恶意样本进行分析,总结出威胁情报。2.漏洞原理与复现2.1漏洞环境靶机unbutuIP:1...