By 空虚浪子心 http://www.inbreak.net/ JAVA出了漏洞,CVE-2010-4476,会导致拒绝服务攻击.大家能从公告上,看到这样一段代码,挺长的.意思是只有开发人员写出这样的代码,才会对服务器造成影响. 我们肯定会首先考虑,这么长的代码,究竟有多少开发会傻乎乎的写出来?而我们究竟打不打补丁呢?其实作者知道,目前还有很多公司没有打补丁,不过没关系,等会儿你就要打了. 先看看官方给出的代码. Send a Java Program Into An Infinite Loo…

0xr0ot和Xbalien交流所有可能导致应用拒绝服务的异常类型时,发现了一处通用的本地拒绝服务漏洞.该通用型本地拒绝服务可以造成大面积的app拒绝服务. 针对序列化对象而出现的拒绝服务主要是由于应用中使用了getSerializableExtra() 的API,由于应用开发者没有对传入的数据做异常判断,恶意应用可以通过传入畸形数据,导致应用本地拒绝服务.漏洞应用代码片段: Intent i = getIntent(); if(i.getAction().equals("serializabl…

漏洞名称: Linux kernel 拒绝服务漏洞 CNNVD编号: CNNVD-201311-020 发布时间: 2013-11-05 更新时间: 2013-11-05 危害等级:    漏洞类型:   威胁类型: 远程 CVE编号: CVE-2013-4348 Linux kernel是美国Linux基金会发布的一款操作系统Linux所使用的内核.         Linux kernel 3.12及之前的版本中的net/core/flow_dissector.c文件中的skb_flow_d…

"有些人看不懂,简单比喻来说吧:目前刚出的任何安全防护都不会拦,网站类专属漏洞 畸形数据包,2KB随机数据包,2M网速打死各种网站,cdn通挂!"PHP multipart/form-data头部解析远程拒绝服务漏洞发布日期:2015-05-18受影响的软件及系统:====================PHP 5.0.0 - 5.0.5PHP 5.1.0 - 5.1.6PHP 5.2.0 - 5.2.17PHP 5.3.0 - 5.3.29PHP 5.4.0 - 5.4.40PHP…

Java安全之XStream 漏洞分析 0x00 前言 好久没写漏洞分析文章了,最近感觉在审代码的时候,XStream 组件出现的频率比较高,借此来学习一波XStream的漏洞分析. 0x01 XStream 历史漏洞 下面罗列一下XStream历史漏洞 XStream 远程代码执行漏洞 CVE-2013-7285 XStream <= 1.4.6 XStream XXE CVE-2016-3674 XStream <= 1.4.8 XStream 远程代码执行漏洞 CVE-2019-1017…

Java安全之Axis漏洞分析 0x00 前言 看到个别代码常出现里面有一些Axis组件,没去仔细研究过该漏洞.研究记录一下. 0x01 漏洞复现 漏洞版本:axis=<1.4 Axis1.4 freemarker 下载Axis包1.4版本将Axis放到tomcat的webapp目录中.freemarker.jar放到Axis的 lib目录下.运行tomcat即可. WEB-INF/web.xml 中将该配置取消注释 <servlet-mapping> <servlet-name&…

——reference Java is Pass by Value and Not Pass by Reference 其实这个问题是一个非常初级的问题,相关的概念初学者早已掌握,但是时间长了还是容易混淆,特此总结一下 一.值传递和引用传递 首先这里我们先看下两者的异同: 值传递:方法调用时,实际参数把它的值传递给对应的形式参数,方法执行中形式参数值的改变不影响实际参 数的值. 引用传递:也称为传地址.方法调用时,实际参数的引用(地址,而不是参数的值)被传递给方法中相对应的形式参数,在方法执行中…

1. 背景:开发小伙伴突然问我java是值传递还是引用传递,我说当然是值传递,只不过有时候传递一个对象时实际传递的是对象的地址值,所以让人容易产生一种引用传递的假象,貌似在李刚的疯狂java讲义有提到值传递. 2.于是,今晚就写起代码来验证一下,我去,居然纠结了一段时间. 因为直接写一个方法,带上基本类型和包装类型来一同做校验,思路是: 方法内,对形参进行加减操作,以便查看是否实参也会改变值(如果是值传递,基本类型是不会影响到实参的值的,引用类型的话,改变值一般会改变实参的值,我指的是成员值,当…

首先写一个简便的Employee,以便测试使用. class Employee { private String name; public Employee(String name) { this.name = name; } public String getName() { return name; } public void setName(String name) { this.name = name; } } 第一次测试: 然后写一个函数,传入一个Emplyee对象,修改name,如果…

特殊浮点值NaN(Not-a-Number),例如asin()函数返回反正弦值,所以输入参数不能大于1,否则函数返回NaN值,printf()显示为nan,NaN或类似形式.…