01 CVE-2022-0540 Jira身份验证绕过漏洞分析

Atlassian Jira是澳大利亚Atlassian公司的一套缺陷跟踪管理系统。该系统主要用于对工作中各类问题、缺陷进行跟踪管理。攻击者可利用此漏洞向目标系统发送特制的HTTP请求，以使用受影响的配置绕过 WebWork 操作中的身份验证和授权要求。防守方可通过将产品更新至最新安全版本完成漏洞修复。今天本文章就Jira身份验证绕过漏洞的漏洞范围、漏洞分析及修复方法等方面进行细致的过程分析和说明。

02 GIT泄露漏洞，你检查了吗？

Git是一种分布式版本控制系统，可以用于跟踪文件的变化，记录每次修改的内容，以便开发者随时查案历史版本，并回溯到任意版本。但当开发人员配置不当，导致.git文件夹直接部署到线上环境时，将引发git泄露。攻击者可以利用该漏洞下载git文件夹里的所有内容。如果文件夹内有敏感信息比如站点源码、数据库账户密码等，攻击者可能直接控制服务器。防守方可通过删除.git目录、修改Web站点配置文件的方式完成漏洞修复。