最新 | 最热门 | 最高评价

+0  STRUTS2框架的getClassLoader漏洞利用

Tag: Java Security | WEB SECURITY | 原创文章 | classLoader | getClassLoader | java | struts2 | 漏洞利用
空虚浪子心 发于 2014年03月14日 19:28 | 点击: 1745 | 展开摘要
by 空虚浪子心 http://www.inbreak.net 微博:http://t.qq.com/javasecurity
摘要:

2012年,我在《攻击JAVA WEB》,文中提多关于“classLoader导致特定环境下的DOS漏洞”,当时并没有更加深入的说明,这几天struts官方修补了这个漏洞,本文是对这个漏洞的深入研究。
正文:

这一切,得从我们控制了classLoader说起,曾经写过一篇文章,提到了一个小小的技术细节,非常不起眼的一个鸡肋。
引用《Spr

查看全文: http://www.udpwork.com/item/11961.html

+0  OAuth授权的XSRF漏洞及其修复

Tag: Web那些事 | 快乐的码农 | oauth | xsrf | 修复 | 漏洞
iAzrael 发于 2012年11月23日 19:18 | 点击: 1267 | 展开摘要
话说前段时间 OAuth2.0 授权被人找出了个漏洞,各个开放平台都有影响,导致一阵恐慌。虽然后来发现其实是夸大其后果了,但也暴露出我们对这个经常用的协议仍一知半解的现状。所以花了点时间,整理了 OAuth1.0 和 2.0 的授权流程、以及其中的隐患和修复方案,供各位同学了解。由于本人也是临阵磨刀,难免疏漏,欢迎指点。

一、OAuth 1.0

a)OAuth1.0的授权流程为

OAuth1.0授权流程(配图取自http://dev.t.qq.com/)

其特点是请求

查看全文: http://www.udpwork.com/item/9599.html
|<<<1>>>| 一共1页, 2条记录