Bearcat#secfree.com

  • Jackson-databind CVE-2017-17485

    Jackson-databind是Java中用于JSON序列化与反序列化的流行库,美国FasterXML公司的一款用于Java的数据处理工具。漏洞描述根据CVE官方的信息"FasterXML jackson-databind through 2.8.10 and 2.9.x through 2.9.3 allows unauthenticated remote code executio...

    2018年01月11日 6021 0
  • 微信小程序漏洞:可下载任意微信小游戏源代码

    描述       本文是我的好朋友,独立开发者朱鹏飞早上的投稿,我看完文章之后立马根据他的思路方法测试了一下,然后下载了十几个微信官方的小游戏源码单纯研究学习,截止我目前推送文章的时候( 2018年1月1日23:50分 ),微信官方已经修复了这个漏洞,但是我感觉文章还是可以分享出来给诸位开发者,安全问题真的不容忽视呢。另外说三点:1、据说有些老版本的微信还是...

    2018年01月02日 11105 0
  • 【漏洞预警】Oracle WebLogic wls-wsat RCE CVE-2017-10271 & CVE-2017-3506

           Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。漏洞描述       早期,黑...

    2017年12月23日 139772 0
  • S2-055反序列化exploit【附exp & 环境】

    S2-055 反序列化漏洞Exploit CVE-2017-7525环境搭建:下载地址:https://github.com/iBearcat/S2-055/blob/master/struts2-rest-showcase.war?raw=true访问:http://192.168.199.130:8887/struts2-rest-showcase/orders.xhtml环境搭建完成。漏洞利...

    2017年12月18日 14487 0
  • 如何优雅的监听女友手机 ?

    前言小明:wing,我昨天不知道女朋友干嘛去了,发QQ没回,半夜两点给她打电话,她喘着气说在跑步,然后我听到啪啪啪的声音,她说穿着拖鞋在跑,旁边有个男人喘着气说他要冲刺了,结果我听到了啊~、哦~、嗯~~~的声音,你说你扭到脚了。我跟她说我马上去给你买台跑步机,你明晚别跑了好吗?Emmm,其实不是标题说的那样的,小明老婆不是那种人——才怪。于是我跟他说有一款好玩的rat,可以悄悄咪咪装在你老婆手机上...

    2017年12月14日 17041 0
  • 【漏洞利用】Node.js 任意文件读取漏洞 CVE-2017-14849 # 附演示

    漏洞描述此漏洞是Node.js和Express共同导致的一个通用漏洞,Node.js官网于9月29号公开,对应的CVE编号为CVE-2017-14849漏洞原理关于Node,jsNode.js是一个Javascript运行环境(runtime),发布于2009年5月,由Ryan Dahl开发,实质是对Chrome V8引擎进行了封装。Node.js对一些特殊用例进行优化,提供替代的API,使得V8...

    2017年12月14日 7191 0

联系我们

邮件:[email protected]