[漏洞分析] 002 復現 Spring4Shell: Spring Core RCE JDK 9+ CVE-2022-22965
飛飛 | 2022-03-31本文介紹 Spring Core RCE CVE-2022-22965 的漏洞介紹與環境架設,包含臨時修復方式。
[網站漏洞] 004 Command injection 指令注入
飛飛 | 2022-03-30今天要介紹的 Command injection ,也就是可以透過這個漏洞去執行伺服器的命令 ( Command ) ,通常有這個漏洞就可以做到遠端程式碼執行( RCE,Remote Code Execution)。
[網站漏洞] 003 Directory traversal/File Path traversal 路徑穿越/目錄遍歷
飛飛 | 2022-03-30本文介紹目錄遍歷(文件路徑遍歷)-Directory traversal/Path traversal,透過漏洞取得伺服器檔案,如原始碼、設定檔(帳號密碼 IP)造成敏感外洩。
[網站漏洞] 002 Broken Authentication vulnerabilities 身份驗證漏洞
飛飛 | 2022-03-25本篇文章介紹 OWASP top 10 中 2017 第二名的 broken authentication 針對身份驗證相關的漏洞,身份驗證原理,以及常見的三種身份驗證漏洞成因,最後附上與身份驗證防禦的方式。
[網站漏洞] 001 SQL injection 與自建 LAB
飛飛 | 2022-03-24本篇文章介紹網站漏洞 SQL injection,先認識 SQL 查詢語言,介紹注入類型:如字串型、數字型、Union 型、blind 型,最後完成一個 SQLi LAB。