java漏洞历史内容来⾃以前收集的思维导图,作者不明。
1.JDK漏洞
1.1.CVE-2012-4681
msf: exploit/multi/browser/java_jre17_jaxws
1.2.CVE-2012-0507
msf: exploit/multi/browser/java_atomicreferencearray
1.3.CVE-2012-1723
msf: exploit/ulti/browser/java_verifier_field_access
1.4.CVE-2013-0422
msf: exploit/multi/browser/java_jre17_jmxbean
2.中间件漏洞
2.1.Tomcat
2.1.1.CVE-2017-12617
2.1.2.CVE-2018-11784
2.2.JBoss
2.2.1.CVE-2010-1871
msf: exploit/multi/http/jboss_seam_upload_exec
2.2.2.CVE-2010-0738
msf: auxiliary/scanner/http/jboss_vulnscan
2.2.
3.CVE-2013-6469
2.2.4.CVE-2017-7504
2.2.5.CVE-2017-12149
msf: auxiliary/scanner/http/jboss_vulnscan
2.2.6.反序列化
2.2.7.WebConsole/Invoker 代码执⾏漏洞
2.2.8.JMXInvoker 代码执⾏漏洞
2.3.Jetty
2.3.1.CVE-2005-3747
URL编码的反斜线源代码暴露漏洞
2.4.Jenkins
2.4.1.CVE-2018-1999002 任意⽂件读取漏洞
2.4.2.CVE-2018-1000861
2.4.
3.CVE-2017-1000353 反序列化命令执⾏shiro安全框架
2.4.4.CVE-2017-1000353
3.开发框架及组件漏洞
3.1.Struts框架
3.1.1.Struts2所有漏洞链接
3.1.2.命令执⾏漏洞
S2-003/S2-005
S2-009
S2-012
S2-013/S2-014
S2-015
S2-016
S2-029
S2-032
S2-033
S2-036
S2-037
S2-045
S2-052
S2-053
S2-057
3.2.Spring框架
3.2.1.Spring所有漏洞链接
3.2.2.⾼危漏洞
3.2.2.1.XXE
cve-2013-4152
cve-2013-7315
CVE-2013-6429
CVE-2014-0054
CVE-2017-8040
CVE-2018-1259
CVE-2019-3774
CVE-2019-3773
CVE-2019-3772
3.2.2.2.XSS
CVE-2013-6430
CVE-2014-1904
CVE-2018-1229
3.2.2.3.RCE
CVE-2016-2173
CVE-2016-4977
CVE-2017-8045
CVE-2018-1270
CVE-2018-1260
3.3.Play框架
3.3.1.所有漏洞链接
3.3.2.⾼危漏洞
Logback反序列化漏洞
CVE-2014-3630
3.4.Dubbo
3.4.1.反序列化命令执⾏漏洞
3.4.2.未授权访问
4.安全框架
4.1.OWASP ESAPI
4.1.1.注⼊
Validator,Encoder
4.1.2.XSS
Encoder
4.1.3.失效的⾝份认证和会话管理HTTPUtilities(Safe Upload)
4.1.4.不安全的直接对象引⽤AccessReferenceMap,AccessController 4.1.
5.跨站请求伪造(CSRF)
CSRF Token
4.1.6.安全配置错误EnterpriseSecurityException,HTTPUtils 4.1.7.不安全的加密存储Authenticator,User,HTTPUtils
4.1.8.没有限制的URL访问
Encryptor
4.1.9.传输层保护不⾜
HTTPUtils(Secure Cookie,Channel)
4.1.10.未验证的重定向和转发AccessController
4.2.Spring Security
4.2.1.重要组件SecurityContextHolder SecurityContext AuthenticationManager ProviderManager AuthenticationProvider
Authentication
GrantedAuthority
UserDetails
UserDetailsService
4.2.2.重要过滤器WebAsyncManagerIntegrationFilter SecurityContextPersistenceFilter HeaderWriterFilter
CorsFilter
LogoutFilter RequestCacheAwareFilter SecurityContextHolderAwareRequestFilter AnonymousAuthenticationFilter SessionManagementFilter ExceptionTranslationFilter FilterSecurityInterceptor UsernamePasswordAuthenticationFilter BasicAuthenticationFilter
4.3.Shiro
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论