技术深度 都是⽐较⼤的挑战 所以,以下的所有技术点也⼏乎都是完全站在这种场景和⻆度下来考量梳理的 需要特别说明的是, 所有攻击⼿法在现实中都绝不是完全孤⽴使⽤的, 往往很多⼿法都是相互灵活组合起来进⾏循环 利⽤ 由于绝⼤部分内容都是基于本⼈平时学习实战积累的⼀些经验,加之每个⼈的实际渗透思路都不同 所以肯定会有遗漏的地⽅,也欢迎弟兄们⼀起来积极指正补充完善 所以肯定会有遗漏 ⽅, 欢迎弟兄们 CVE-2014-4210 SSRF 控制台弱⼝令,部署webshell Jboss CVE-2015-7501 CVE-2017-7504 CVE-2017-12149 未授权访问,部署webshell 控制台弱⼝令,部署webshell wildfly [jboss 7.x 改名为 wildfly] 控制台弱⼝令,部署webshell Tomcat CVE-2020-1938 [ AJP协议漏洞, 直接把8009端⼝暴露在外⽹的不太多,稍鸡肋 ] 控制台弱⼝令,部署webshelll [ 注: 7.x版本后,默认加了防爆机制 ] Jekins CVE-2018-1999002 [任意⽂件读取] 未授权访问,任意命令执⾏ 控制台弱⼝令,任意命令执⾏ ElasticSearch CVE-2014-3120 [专⻔针对⽼版本(⽆沙盒)RCE]

⻓ 3. 缺乏对重要故障场景的应急预案的梳理和演练 效果： 1. 通过落地Flashcat平台，公司A级产品线北极星指标监控实现了全覆盖，P3级 及以上故障北极星监控发现率为100%，MTTI控制在5分钟以内。真正做到了先 于⽤户发现问题，让故障处理变被动为主动。 。 2. 故障定位能⼒建设也已取得重要进展，我们和业务⼀起梳理了公司A级产品线 核⼼主流程依赖的接⼝和模块，并将梳理结果落地到Flashcat灭⽕图系统，并