NowView 正在参加 2021 年度 OSC 中国开源项目评选,请投票支持!
NowView 在 2021 年度 OSC 中国开源项目评选 中已获得 {{ projectVoteCount }} 票,请投票支持!
2021 年度 OSC 中国开源项目评选 正在火热进行中,快来投票支持你喜欢的开源项目!
2021 年度 OSC 中国开源项目评选 >>> 中场回顾
NowView 获得 2021 年度 OSC 中国开源项目评选「最佳人气项目」 !
授权协议 Apache
开发语言 Java
操作系统 Android
软件类型 开源软件
开源组织
地区 国产
投 递 者 DreamWinter
适用人群 未知
收录时间 2018-06-20

软件简介

Jsoup + MaterialViewPager + RxJava2 + Retrofit + Lifecycle + Realm + Fresco + Retrolambda example 一款Android图文精选app,通过抓取网页获得图文列表。目前包含猫弄(MONO)早午茶、站酷(Zcool)精选、国家地理(National Geographic)每日一图、知乎日报、豆瓣一刻(Moment)。

展开阅读全文

代码

的 Gitee 指数为
超过 的项目

评论

点击引领话题📣 发布并加入讨论🔥
暂无内容
发表了博客
{{o.pubDate | formatDate}}

{{formatAllHtml(o.title)}}

{{parseInt(o.replyCount) | bigNumberTransform}}
{{parseInt(o.viewCount) | bigNumberTransform}}
没有更多内容
暂无内容
发表了问答
{{o.pubDate | formatDate}}

{{formatAllHtml(o.title)}}

{{parseInt(o.replyCount) | bigNumberTransform}}
{{parseInt(o.viewCount) | bigNumberTransform}}
没有更多内容
暂无内容
Fastjson < 1.2.46版本远程代码执行漏洞
使用外部可控制的输入来选择类或代码(不安全的反射)
Fastjson 是Java语言实现的快速JSON解析和生成器,攻击者发现可以通过恶意构造的JSON请求,绕过此前修复机制,远程执行任意代码。 漏洞原因: AutoTypeSupport显式设置为True时,Fastjson会通过autoType来实例化json对象,由于通过基于黑名单的checkAutotype方法对@type字段进行安全性验证,在1.2.45及之前的版本中org.apache.ibatis.datasource.jndi.JndiDataSourceFactory类并未列入黑名单,因此攻击者可以借助mybatis依赖发起JNDI注入,通过其中的恶意类执行任意代码。
MPS-2018-27010
2023-12-20 20:07
Fastjson 1.2.25-1.2.47版本远程代码执行漏洞
使用外部可控制的输入来选择类或代码(不安全的反射)
Fastjson是一款开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 AutoTypeSupport显式设置为True时,Fastjson会通过autoType来实例化json对象,并通过基于黑名单的checkAutotype方法对@type字段进行安全性验证。 研究人员发现可以通过java.lang.Class白名单类,将JdbcRowSetImpl类加载到Map中缓存,从而绕过AutoType的检测,进而反序列其他攻击类,攻击者可通过恶意构造的请求包在使用Fastjson的服务器上利用该漏洞进行远程代码执行。 在1.2.25-1.2.32版本中,未开启AutoTypeSupport时能成功利用,开启AutoTypeSupport不能利用。 在1.2.33-1.2.47版本中,无论是否开启AutoTypeSupport,都能成功利用。
MPS-2018-27011
2023-12-20 20:07
Fastjson <= 1.2.60 版本远程代码执行漏洞
使用外部可控制的输入来选择类或代码(不安全的反射)
Fastjson 是Java语言实现的快速JSON解析和生成器,在<=1.2.60的版本中攻击者可通过精心构造的JSON请求,在autoType显式开启的情况下,绕过黑名单机制,远程执行任意代码。 漏洞原因: AutoTypeSupport显式设置为True时,Fastjson会通过autoType来实例化json对象,并通过基于黑名单的checkAutotype方法对@type字段进行安全性验证,攻击者发现了两个类org.apache.commons.configuration.JNDIConfiguration和oracle.jdbc.connector.OracleManagedConnectionFactory不在黑名单中,可实现JNDI注入,执行任意代码。
MPS-2019-28847
2023-12-20 20:07
Fastjson < 1.2.60 版本拒绝服务漏洞
拒绝服务
Fastjson 是Java语言实现的快速JSON解析和生成器,在<1.2.60的版本中攻击者可通过精心构造的JSON请求,造成服务器内存和CPU等资源耗尽,最终系统宕机。 漏洞原因: fastjson处理\x转义字符不当,json中包含恶意构造的请求,如{"a":"\x,可能引发OOM,java进程被系统杀死。
MPS-2019-28848
2023-12-20 20:07
Fastjson <=1.2.68 远程代码执行漏洞
使用外部可控制的输入来选择类或代码(不安全的反射)
Fastjson 是Java语言实现的快速JSON解析和生成器,在<=1.2.68的版本中攻击者可通过精心构造的JSON请求,远程执行恶意代码。 漏洞原因: Fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,发现在AutoTypeSupport关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。 本次绕过通过继承自 Throwable 异常类的白名单类gadget实现,漏洞点为ThrowableDeserializer#deserialze。
MPS-2020-39708
2023-12-20 20:07
Fastjson < 1.2.67远程命令执行漏洞
反序列化
Fastjson 是Java语言实现的快速JSON解析和生成器,攻击者发现可以通过恶意构造的JSON请求,绕过此前修复机制,远程执行任意代码。 漏洞原因: AutoTypeSupport显式设置为True时,Fastjson会通过autoType来实例化json对象,由于通过基于黑名单的checkAutotype方法对@type字段进行安全性验证,在1.2.67之前的版本中可com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig类绕过黑名单限制,远程攻击者可利用漏洞发起JNDI注入,远程执行任意代码,进而获取服务器的控制权限。
MPS-2020-40828
2023-12-20 20:07
jsoup <1.14.2 存在拒绝服务漏洞
不可达退出条件的循环(无限循环)
jsoup 是一款 HTML 解析器,可直接解析某个URL地址、HTML文本内容。 1.14.2之前版本的 jsoup 在解析不受信任的 HTML 或 XML 时容易受到 DOS 攻击。如果解析器在用户提供的输入上运行,攻击者通过提供恶意数据导致解析器无限循环从而造成拒绝服务。用户可以对输入解析进行速率限制,根据系统资源限制输入的大小,或实现 thread watchdogs 来缓解此漏洞。
CVE-2021-37714 MPS-2021-17634
2023-12-20 20:07
Fastjson < 1.2.83 任意代码执行漏洞
反序列化
Fastjson 是Java语言实现的快速JSON解析和生成器。 Fastjson 使用黑白名单用于防御反序列化漏洞,1.2.80及以下版本可利用白名单期望类Throwable绕过黑名单限制,不受默认autoType关闭影响。 结合其他依赖(gadget)的默认行为,如groovy、aspectj等依赖,攻击者可利用该漏洞构造利用链,实现远程执行恶意代码、任意文件读取等操作。
CVE-2022-25845 MPS-2022-11320
2023-12-20 20:07
com.google.code.gson:gson 存在BigDecimal拒绝服务漏洞
反序列化
受影响版本的gson容易通过 writeReplace 方法反序列化不受信任的数据,由于返回BigDecimal,可能导致 DoS 攻击。
CVE-2022-25647 MPS-2022-12287
2023-12-20 20:07
jsoup <1.15.3 存在反射型 XSS 漏洞
XSS
jsoup 是一款 HTML 解析器,可直接解析某个URL地址、HTML文本内容。 jsoup 1.15.3之前版本中如果启用了非默认的 `SafeList.preserveRelativeLinks` 选项,则不会清理代码中包含在 url 中的 `javascript:` 字符,在用户点击该链接时产生 XSS 攻击,如果发布此 HTML 的站点未设置内容安全策略(CSP),攻击者可以利用此漏洞引导受害者点击包含恶意字符的 url 执行任意 JavaScript 代码。开发者可通过禁用 SafeList.preserveRelativeLinks 选项缓解此漏洞。
CVE-2022-36033 MPS-2022-51547
2023-12-20 20:07
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页
0 评论
10 收藏
分享
OSCHINA
登录后可查看更多优质内容
返回顶部
顶部