Archive10月 2020

漏洞简述

Apache Shiro是美国阿帕奇（Apache）软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。 Apache Shiro 1.0.0版本至1.2.4版本中将密钥硬编码在代码中，攻击者可使用默认密钥发送带有特制参数的请求利用该漏洞执行任意代码或访问受限制内容。

最近学校又开始不当人了，校园网屏蔽了RDP协议的流量，这样我就没办法直接连远程桌面了。一开始我以为学校只是屏蔽了3389端口的流量，于是我把Windows Server的rdp端口从3389改成了22端口（假装自己是一台Linux哈哈）。但是发现行不通，看来学校是屏蔽了RDP协议的流量，经过一番折腾总算绕过才有了这篇文章。

漏洞简述

Apache Spark是一款集群计算系统，其支持用户向管理节点提交应用，并分发给集群执行。如果管理节点未启动ACL（访问控制），我们将可以在集群中执行任意代码。

这篇文章是几年前写的，本文的方法已经过时。当时jb家的IDE没有直接支持远程开发，是通过同步本地文件到服务器来实现远程的，不过现在IDE已经支持真正意义的远程开发。