0x01 概述 Hutool 是一个Java工具库，提供了丰富的工具类和方法，方便开发者在Java应用程序中进行各种常见任务的处理。它具有简单易用、功能丰富、性能优越等特点，被广泛用于Java开发中。 笔者通过对数百个真实项目引入组件的分析选出了该组件的常见漏洞进行分析。本次分析的是CVE-2022-22885，Hutool-http执行HttpRequest操作时的证书验证漏洞。 0x02 组件使用场景 Hutool-http组件是基于HttpUrlConnection的Http客户端封装 。其中的HttpReq…

0x00 漏洞背景 Qt是一个跨平台的C++应用程序开发框架，用于创建图形用户界面（GUI）应用程序、命令行工具、嵌入式系统和网络应用等各种类型的应用。 Qt框架包含的Qt Network（网络模块），提供了QNetworkAccessManager 类，该类允许应用程序发送网络请求和接收回复。其在处理响应时，会根据服务器发送的"Strict-Transport-Security"的响应头来更新HSTS策略。 0x01 漏洞信息 2023年5月9日，Qt开发人员Mårten Nordheim提交漏洞修复的源码合并。…