背景SpringCloud是Spring提供的微服务实现框架,其中包含网关、配置中心和注册中心等内容,网关的第一代实现为zuul,第二代实现为Gateway,提供了更好的性能和特性。网关可以提供统一的流量控制和访问控制等功能,一般放在客户端请求的入口或作为nginx的直接上游如下图。Gateway使用Gateway配置可以使用两种方式:yml或者properties固定配置通过actuator插件动态添加作为一个网关最主要的功能就是路由功能,而路由的规则由Route、Predicate、Filter三部分组成。SpringCloudGatewaySpringCloudGateway实操yml固
漏洞原理ApacheShiro是Java的一个安全框架,可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等功能,应用十分广泛。Shiro最有名的漏洞就是反序列化漏洞了,加密的用户信息序列化后存储在名为remember-me的Cookie中,攻击者使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。这里最关键的切入点就是默认密钥了,这个漏洞已经出来5年多了,不知道为啥,实际工作中还是经常发现开发木有修改默认密钥。。。 漏洞复现靶场:https://github.com/vulhub/vulhub/tree/master/shiro
漏洞原理ApacheShiro是Java的一个安全框架,可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等功能,应用十分广泛。Shiro最有名的漏洞就是反序列化漏洞了,加密的用户信息序列化后存储在名为remember-me的Cookie中,攻击者使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。这里最关键的切入点就是默认密钥了,这个漏洞已经出来5年多了,不知道为啥,实际工作中还是经常发现开发木有修改默认密钥。。。 漏洞复现靶场:https://github.com/vulhub/vulhub/tree/master/shiro
漏洞简介 在Joomla!版本为4.0.0到4.2.7中发现了一个漏洞,在Joomla受影响的版本中由于对Web服务端点的访问限制不当,远程攻击者可以绕过安全限制获得Web应用程序敏感信息。影响版本 4.0.0环境搭建 文件下载地址 https://downloads.joomla.org/cms/joomla4/4-2-7/Joomla_4-2-7-Stable-Full_Package.zip?format=zip 利用phpstudy搭建漏洞环境 我们利用phpstudy来搭建环境,选择Apache2.4.39+MySQL5.7.26+php7.4.3,同时利用PhpSt
漏洞简介 在Joomla!版本为4.0.0到4.2.7中发现了一个漏洞,在Joomla受影响的版本中由于对Web服务端点的访问限制不当,远程攻击者可以绕过安全限制获得Web应用程序敏感信息。影响版本 4.0.0环境搭建 文件下载地址 https://downloads.joomla.org/cms/joomla4/4-2-7/Joomla_4-2-7-Stable-Full_Package.zip?format=zip 利用phpstudy搭建漏洞环境 我们利用phpstudy来搭建环境,选择Apache2.4.39+MySQL5.7.26+php7.4.3,同时利用PhpSt
0x01前言学习一下WebLogicJNDI注入RCE(CVE-2021-2109)0x02环境搭建和之前WebLogic的环境搭建是一致的,本文不再赘述。不过值得一提的是,我的weblogic版本是10.3.6;需要手动添加 \server\lib\consoleapp\webapp\WEB-INF\lib\console.jar 到依赖里面0x03漏洞分析与复现漏洞影响版本与前提条件OracleWebLogicServer10.3.6.0.0,12.1.3.0.0,12.2.1.3.0,12.2.1.4.0,14.1.1.0.0。拥有访问 /console/consolejndi.port
0x01前言学习一下WebLogicJNDI注入RCE(CVE-2021-2109)0x02环境搭建和之前WebLogic的环境搭建是一致的,本文不再赘述。不过值得一提的是,我的weblogic版本是10.3.6;需要手动添加 \server\lib\consoleapp\webapp\WEB-INF\lib\console.jar 到依赖里面0x03漏洞分析与复现漏洞影响版本与前提条件OracleWebLogicServer10.3.6.0.0,12.1.3.0.0,12.2.1.3.0,12.2.1.4.0,14.1.1.0.0。拥有访问 /console/consolejndi.port
SpringCloudFunction介绍SpringCloud是一套分布式系统的解决方案,常见的还有阿里巴巴的Dubbo,Fass(FunctionAsAService)的底层实现就是函数式编程,在视频转码、音视频转换、数据仓库ETL等与状态相关度低的领域运用的比较多。开发者无需关注服务器环境运维等问题上,专注于自身业务逻辑实现即可。SpringCloudFunction就是Spring提供的分布式函数式编程组件。漏洞环境搭建通过idea新建一个Spring项目,pom中引入spring-boot-starter-web、spring-cloud-function-web,如下:4.0.0o
SpringCloudFunction介绍SpringCloud是一套分布式系统的解决方案,常见的还有阿里巴巴的Dubbo,Fass(FunctionAsAService)的底层实现就是函数式编程,在视频转码、音视频转换、数据仓库ETL等与状态相关度低的领域运用的比较多。开发者无需关注服务器环境运维等问题上,专注于自身业务逻辑实现即可。SpringCloudFunction就是Spring提供的分布式函数式编程组件。漏洞环境搭建通过idea新建一个Spring项目,pom中引入spring-boot-starter-web、spring-cloud-function-web,如下:4.0.0o
作者:老Z,中电信数智科技有限公司山东分公司运维架构师,云原生爱好者,目前专注于云原生运维,云原生领域技术栈涉及Kubernetes、KubeSphere、DevOps、OpenStack、Ansible等。前言测试服务器配置主机名IPCPU内存系统盘数据盘用途zdeops-master192.168.9.92440200Ansible运维控制节点ks-k8s-master-0192.168.9.9141640200+200KubeSphere/k8s-master/k8s-workerks-k8s-master-1192.168.9.9241640200+200KubeSphere/k8s-
