- 1德州扑克多个玩家对局时赢牌牌型概率分布表、各种牌型的出现概率_牌主赢的概率
- 2基于Conv-LSTM网络的地铁乘客拥堵延误预测深度学习模型
- 3Code-server部署实践
- 4最强Node js 后端框架学习看这一篇文章就够_node 后端框架
- 5学Java看什么书?诚意推荐10本_学java要看哪些书
- 6SpringBoot系列之集成Jedis教程_spring boot 集成 jedis
- 7C/C++鸡尾酒疗法 2023年5月电子学会青少年软件编程(C/C++)等级考试一级真题答案解析_鸡尾酒疗法c++
- 8python3安装pygame_Python pygame如何安装?
- 9获取cookies的方法及使用postman进行接口关联_postman cookie
- 10PowerShell系列(九)PowerShell Cmdlet概念介绍
第六十四天 服务攻防-框架安全&CVE复现Apache shiro&Apache Solr
赞
踩
第六十四天 服务攻防-框架安全&CVE复现Apache shiro&Apache Solr
知识点:
中间件及框架列表:
IIS,Apache,Nginx,Tomcat,Docker,K8s,Weblogic.JBoos,WebSphere,
Jenkins,GlassFish,Jetty,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp,Spring,
Flask,jQuery等
1、开发框架-PHP-Laravel-Thinkphp
2、开发框架-Javaweb-St2-Spring
3.开发框架-Python-django-Flask
4、开发框架-Javascript-Node.js-JQuery
5、其他框架Java-Apache Shiro&Apache Sorl
常见语言开发框架:
PHP:Thinkphp Laravel YIl Codelgniter CakePHP Zend
JAVA:Spring MyBatis Hibernate Struts2 Springboot
Python:Django Flask Bottle Turbobars Tornado Web2py
Javascript:Vue.js Node.js Bootstrap JQuery Angular
章节内容:
常见中间件的安全测试:
1、配置不当-解析&弱口令
2、安全机制特定安全漏洞
3、安全机制弱口令爆破攻击
4、安全应用-框架特定安全漏洞
前置知识:
,中间件安全测试流程:
1、判断中间件信息名称&版本&三方
2、判断中间件问题-配置不当&公开漏洞
3、判断中间件利用-弱口令&EXP&框架漏洞
应用服务安全测试流程:见图
1、判断服务开放情况-端口扫描&组合应用等
2、判断服务类型归属数据库&文件传输&通讯等
3、判断服务利用方式特定漏洞&未授权&弱口令等
开发框架组件安全测试流程:
1、判断常见语言开发框架类型
2、判断开发框架存在的CVE问题
3、判断开发框架CVE漏洞利用方式
演示案例:
Apache Shiro-组件框架安全
Apache Solr-组件框架安全
Apache Shiro-组件框架安全
Apache Shiro是一个强大且易用的Java安全框架,用于身份验证、授权、密码和会话管理
判断:大多会发生在登录处,返回包里包含remeberMe=deleteMe字段
漏洞:https:lavd.aliyun.com/search?q=shiro
Apache Shiro<=1.2.4默认密钥致命令执行漏洞[CVE-2016-4483]
Apache Shiro<1.3.2验证绕过漏洞[CVE-2016-2807]
Apache Shiro<
