Struts2是当今最出色的J2EE框架之一，目前多数公司企业依然大面积使用其作为电商，金融等项目的底层框架。    近期，安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现Struts2存在远程代码执行的严重漏洞。目前Struts2官方已经确认漏洞（漏洞编号S2-045，CVE编号：cve-2017-5638），并定级为高危风险。  该漏洞是基于Jakarta...

背景知识CC攻击攻击者通过创建大量请求导致服务器资源耗尽，主要针对特定服务接口，属于实现DoS攻击的一种方式（DoS攻击更多是针对网络端口，而不是具体服务接口）。NGINX流控limit_req_zone：通过“漏桶”算法限制每个IP发起的请求频率。limit_conn_zone：限制每个IP发起的连接数。fail2ban通过匹配服务器日志操作iptables来限制客户端网络连接。实践配置NGINX部分在http部分中配置：limit_req_zone $b...

WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统，至少有1800万个网站使用该系统。在4.7.0版本后，RESTAPI插件的功能被集成到WordPress中，由此也引发了一些安全性问题。WordPressRESTAPI内容注入/权限提升漏洞于1月22日被安全公司Sucuri研究员Marc-AlexandreMontpas发现并告知WordPress。经过WordPress紧急修复,于1月26日发...