[CVE-2019-20099]所謂的測試POP3服務連通性的CSRF

原創 caiqiiqi 2020-03-16 17:28

講了Jira的CSRF簡單的防禦方法,比如referer的校驗,和xsrf token的校驗。但是Jira並沒有對所有敏感請求都進行驗證。比如驗證POP3 服務器連通性的這個功能就沒有。

由於這個測試POP3 服務器連通性的功能需要管理員權限,所以這個csrf腳本需要管理員觸發。散了吧。
攻擊過程需要

參考:
https://medium.com/tenable-techblog/exploiting-jira-for-host-discovery-43be3cddf023

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Java實現抓取在線視頻並提取視頻語音爲文本

一、 背景 最近在做大模型相關的項目,其中有個模塊需要提取在線視頻語音爲文本並輸出給用戶。作爲一個純後端Jave工程師,搞這個確實是初次嘗試。 二、 調研 基於上述功能模塊,主要有三大任務:1、 提取網頁中的視頻 2、 視頻轉語音 3、 語

原創 2024-05-22 11:56:46

線程池那些坑爹的參數-核心線程數&最大線程數&工作隊列

1-前言 本文根據實際遇到的線程池使用導致的性能問題,從代碼層面解析 線程池 核心線程數、最大線程數、工作隊列三個參數配置不佳容易產生的問題,以及對這些問題的建議 對線程池的更多解析,這篇文章講得已經比較詳細了,建議大家仔細研讀:《阿里規

原創 2024-05-21 23:11:06

IO密集型場景CompletableFuture使用的陷阱

1-概述 1.1 背景 企知道後臺服務存在大量的查詢可以併發,大量用到了java8的CompletableFuture特性,但是在性能測試中,遇到了併發的瓶頸。 經過分析,發現是由於CompletableFuture默認線程池以及公共線

原創 2024-05-21 23:11:05

【開啓報名】開源之夏2024精彩繼續!Apache Linkis項目課題正式發佈

開源之夏是什麼 “開源之夏(OSPP)” 是中國科學院軟件研究所 “開源軟件供應鏈點亮計劃” 指導下的系列暑期活動,旨在鼓勵在校學生積極參與開源軟件的開發維護,培養和發掘更多優秀的開發者,促進優秀開源軟件社區的蓬勃發展,助力開

微衆開源 2024-05-21 21:38:53

高併發系統-使用自定義日誌埋點快速排查問題

背景 在高併發的系統中,通常不會打印除參數校驗失敗或捕獲異常之外的日誌,防止對接口的性能產生影響。 那對於請求不符合預期的情況,我們如何快速找到是哪塊邏輯影響的至關重要。 Pfinder提供的鏈路監控,更多的是性能層面的監控,無法滿足

原創 2024-05-21 11:56:04

代理服務器調試技巧:優化Kotlin網絡爬蟲的數據抓取過程

在網絡爬蟲的開發過程中,經常會遇到需要使用代理服務器的情況。代理服務器不僅可以幫助隱藏真實IP地址,還可以繞過網站的訪問限制,提高數據抓取的成功率。然而,在實際應用中,使用代理服務器也會遇到一些問題,如連接超時、IP被封禁等。因此,本文將

原創 2024-05-21 00:07:04

探討篇(一):服務粒度的藝術 - 簡化架構與避免服務氾濫

一、背景 上週小組有個需求上線牽扯9個應用(小組目前維護了26個服務,由於團隊系統業務屬性特徵基於高可用、高性能原則拆分,有些是合理的,有些不是很合理的),同時上週OpsReview的一個微服務濫用典範案例(Promise服務A調用服務B,

原創 2024-05-20 23:55:39

Java常用的JSON序列化與反序列化工具實踐

JSON簡介: JSON(Java Script Object Notation)是一種輕量級的數據交換格式,通常用於在不同系統之間傳輸數據。它基於 JavaScript 對象語法,但已成爲一種獨立於語言的格式。JSON 數據以鍵值對的形式

原創 2024-05-20 23:55:38

PDManer [元數建模]-v4.9.0 發佈:一款簡單好用的數據庫建模平臺

特別說明 平臺公雲版及企業私雲版已經發布,增加多人團隊協作支持,點擊這裏瞭解 [PDManer元數建模-v4],歷時五年,持續升級,工匠精神,做一款簡單好用的數據庫建模平臺。 元數建模平臺,使用React+Electron+Java技

原創 2024-05-20 11:36:32

PDManer [元數建模]-v4.7.0 發佈:一款簡單好用的數據庫建模平臺

特別說明 平臺公雲版及企業私雲版已經發布,增加多人團隊協作支持,點擊這裏瞭解 [PDManer元數建模-v4],歷時五年,持續升級,工匠精神,做一款簡單好用的數據庫建模平臺。 元數建模平臺,使用React+Electron+Java技

原創 2024-05-20 11:36:29

PDManer [元數建模]-v4.9.2 發佈:一款簡單好用的數據庫建模平臺

特別說明 平臺公雲版及企業私雲版已經發布,增加多人團隊協作支持,點擊這裏瞭解 [PDManer元數建模-v4],歷時五年,持續升級,工匠精神,做一款簡單好用的數據庫建模平臺。 元數建模平臺,使用React+Electron+Java技

原創 2024-05-20 11:36:28

PDManer [元數建模]-v4.8.0 發佈:一款簡單好用的數據庫建模平臺

特別說明 平臺公雲版及企業私雲版已經發布,增加多人團隊協作支持,點擊這裏瞭解 [PDManer元數建模-v4],歷時五年,持續升級,工匠精神,做一款簡單好用的數據庫建模平臺。 元數建模平臺,使用React+Electron+Java技

原創 2024-05-20 11:36:27

在Java中,如何以編程的方式設置 Excel 單元格樣式

前言 在Java開發中,處理Excel文件是一項常見的任務。在處理Excel文件時,經常需要對單元格進行樣式設置,以滿足特定的需求和美化要求,通過使用Java中的相關庫和API,我們可以輕鬆地操作Excel文件並設置單元格的樣式。 在本文中

原創 2024-05-20 10:46:43

在Java中,如何以編程的方式設置 Excel 單元格樣式

前言 在Java開發中,處理Excel文件是一項常見的任務。在處理Excel文件時,經常需要對單元格進行樣式設置,以滿足特定的需求和美化要求,通過使用Java中的相關庫和API,我們可以輕鬆地操作Excel文件並設置單元格的樣式。 在本文中

原創 2024-05-20 10:46:42

java.util.concurrent包概覽

JDK8下的java.util.concurrent包 1. java.util.concurrent 1.1 併發容器 未完待續 1.2 線程池 常用線程池 ThreadPoolExecutor ForkJoinPool Schedul

原創 2024-05-20 10:27:06