-
Spring Boot Actuator从未授权访问到getshell
前言部门大佬在某src上挖到了这个漏洞,是一个比较老的洞了,我觉得有点意思,就动手在本地搭了个环境测试一下。Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块,借…
-
首发预警 | 黑客利用Hadoop Yarn资源管理系统未授权访问漏洞进行攻击
4月30日,阿里云发现,俄罗斯黑客利用Hadoop Yarn资源管理系统REST API未授权访问漏洞进行攻击。Hadoop是一款由Apache基金会推出的分布式系统框架,它通过著名的 MapRedu…
-
新姿势之Docker Remote API未授权访问漏洞分析和利用
0x00 概述 最近提交了一些关于 docker remote api 未授权访问导致代码泄露、获取服务器root权限的漏洞,造成的影响都比较严重,比如 新姿势之获取果壳全站代码和多台机器root权限…
-
elasticsearch river未授权访问可泄漏数据库配置信息
elasticsearch在安装了river之后可以同步多种数据库数据(包括关系型的mysql、mongodb等) 安装过程看这里:https://github.com/jprante/elastic…