漏洞预警

4 articles

Oracle WebLogic wls-wsat RCE [漏洞预警]

漏洞编号

CVE-2017-3248

CVE-2017-10271

背景

WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

此中间件目前存在WebLogic 反序列化漏洞(CVE-2017-3248)和WebLogic WLS 组件漏洞(CVE-2017-10271),CVE-20[......]

Read more

2017年OWASPTop10技术解析

天融信阿尔法实验室   雨夜 韩鹏

一、OWASP介绍

OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。其使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有220个分部近六万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。

二、 2013版到2017版的改变

11.[mg

在过去的几年中,应用程序的基础技术和结构发生了重大变化,一些成熟的框架被大量使用,JS框架(如Angular、React)编写的单页应用程序,允许创建高度模块化的前端用户体验;原来交付服务器端处理的功能现在变为由[......]

Read more

Apache Tomcat 信息泄露漏洞预警及远程代码执行漏洞复现

一、漏洞描述:

2017年9月19日,Apache Tomcat官方 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615)

1.1CVE-2017-12616:信息泄露漏洞 

当 Tomcat 中使用了 VirtualDirContext 时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由 VirtualDirContext 提供支持资源的 JSP 源代码。

1.2远程代码执行漏洞(CVE-2017-12615

如果Apache Tomcat服务器上启用了HTTP PUT请求[......]

Read more

Struts(S2-048)远程命令执行漏洞预警

天融信.阿尔法实验室

一、CVE-2017-9791概要

 

1.1漏洞背景

ApacheStruts2是一个优雅的,可扩展的开源MVC框架,主要用于创建企业级的Java Web应用程序。在Struts 2.3.X系列的Showcase插件中演示Struts2整合Struts 1的插件中存在一处任意代码执行漏洞。当你的Web应用使用了 Struts 2 Struts 1插件, 则可能导致Struts2执行由外部输入的恶意攻击代码。

 

1.2漏洞影响

Apache Struts 2.3.x系列中启用了struts2-struts1-plugin插[......]

Read more