01 Ruoyi-若依V4.5.0漏洞复现及修复建议总结

RuoYi 是一个 Java EE 企业级快速开发平台，基于经典技术组合（Spring Boot、Apache Shiro、MyBatis、Thymeleaf、Bootstrap），内置模块如：部门管理、角色用户、菜单及按钮授权、数据权限、系统参数、日志管理、通知公告等。若依管理系统特定版本存在SQL注入、任意文件下载以及组件漏洞等问题，需要开发者格外关注。本文章就若依V4.5.0版本进行细致的版本漏洞过程分析及复现。

02 Web安全漏洞之XSS攻击

XSS，即跨站脚本攻击，是指攻击者利用Web服务器中的应用程序或代码漏洞，在页面中嵌入客户端脚本。当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面或打开收到的URL链接时，用户浏览器会自动加载并执行该恶意代码，从而达到攻击的目的。今天本文章就XSS漏洞原理及防御等方面进行细致的过程分析和说明。

03 Springboot Actuator未授权访问漏洞复现

Spring Boot Actuator 模块提供了生产级别的功能，比如健康检查，审计，指标收集，HTTP 跟踪等，帮助监控和管理Spring Boot 应用。Actuator是Spring Boot提供的应用系统监控的开源框架。但在Actuator配置不当的情况，攻击者可以直接下载heapdump堆转储文件，然后通过一些工具来分析heapdump文件，从而可进一步获取敏感信息。本文章将通过攻击者视角，分析Actuator配置不当的情况下可进行的攻击尝试，同时提醒大家对开源框架进行安全配置的重要性。