Gridea

AJ-Report是一个java开发的开源BI平台，存在多个权限绕过、RCE等漏洞，简单分析一下

简单分析总结一下Spring权限绕过的一些方法

Apache Log4j2是一款开源的Java日志框架，使用极其广泛，在其 <2.15 的版本中被爆出存在JNDI注入漏洞，攻击者可通过该漏洞执行任意代码

Weblogic的WLS Security组件使用XML Decoder来解析用户传入的XML数据，在解析过程中由于过滤不严格导致出现反序列化漏洞，从而实现RCE

Ghostcat（幽灵猫）是由长亭的师傅发现的tomcat安全漏洞，主要原因是Ajp协议在设计上存在缺陷，攻击者可通过该漏洞读取Tomcat上任意应用文件，配合文件上传功能，可以实现任意命令执行

tomcat可以配置开启一个管理员后台，允许管理员在后台以上传文件的形式部署web应用，默认情况下后台只允许本机访问，若配置不当可造成攻击者通过弱口令进入后台，并部署含有后门的web应用。

Laravel是一个免费的开源Web框架，Ignition是其内置的一个组件，用于可视化的显示错误信息

在debug模式下，Ignition2.5.1及之前的版本由于过滤不严存在命令执行漏洞

memcache是一套常用的key-value缓存系统，由于其本身没有权限控制模块，所以开放在外网的memcache非常容易受到攻击，攻击者可以获取其内部的敏感信息。