关于`Apache Tomcat存在文件包含漏洞`的整改

于 2024-03-31 21:07:11 发布
阅读量686 收藏 10
点赞数 14
分类专栏: 程序员 文章标签: apache tomcat java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84010784/article/details/137209382
版权

刷新依赖,正常情况下,这一步就直接结束了,然而我们项目在仅替换了SpringBoot版本之后出现了问题。。

解决问题

  1. Redis报错
  • Problem:

java.lang.ClassNotFoundException: redis.clients.jedis.util.SafeEncoder

  • Solution:

直接修改jedis版本:<jedis.version>2.9.0</jedis.version> 升级为 <jedis.version>3.1.0</jedis.version>

redis.clients

jedis

${jedis.version}

修改导入:import redis.clients.util.SafeEncoder;改为:import redis.clients.jedis.util.SafeEncoder;

  1. 循环依赖错误

项目启动时出现了两处循环依赖的问题,A依赖B,B又依赖了A。。这类错误会被Spring检测到,如下:

  • Problem:

ERROR org.springframework.boot.SpringApplication - Application run failed

org.springframework.beans.factory.BeanCreationException: Error creating bean with name ‘wxOpenidUtil’: Injection of resource dependencies failed; nested exception is org.springframework.beans.factory.BeanCurrentlyInCreationException: Error creating bean with name ‘wxOpenidServiceImpl’: Bean with name ‘wxOpenidServiceImpl’ has been injected into other beans [wxOpenidServiceImpl] in its raw version as part of a circular reference, but has eventually been wrapped. This means that said other beans do not use the final

version of the bean. This is often the result of over-eager type matching - consider using ‘getBeanNamesOfType’ with the ‘allowEagerInit’ flag turned off, for example.

ERROR org.springframework.boot.SpringApplication - Application run failed

org.springframework.beans.factory.BeanCreationException: Error creating bean with name ‘sysUserService’: Bean with name ‘sysUserService’ has been injected into other beans [sysRoleService] in its raw version as part of a circular reference, but has eventually been wrapped. This means that said other beans do not use the final version of the bean. This is often the result of over-eager type matching - consider using ‘getBeanNamesOfType’ with the ‘allowEagerInit’ flag turned off, for example.

  • Solution:

  1. 可在代码层面解决这类问题,即对依赖对象的方法重新在自己的类内实现一遍;

  2. 在B中依赖A的地方使用@Lazy注解,实现Spring注入bean的策略调整;

至此,关于Apache Tomcat存在文件包含漏洞的整改完毕。

  • 整改前

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,真正体系化!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

如果你觉得这些内容对你有帮助,可以扫码获取!!(备注Java获取)

img

总结

阿里伤透我心,疯狂复习刷题,终于喜提offer 哈哈~好啦,不闲扯了

image

1、JAVA面试核心知识整理(PDF):包含JVMJAVA集合JAVA多线程并发,JAVA基础,Spring原理微服务,Netty与RPC,网络,日志,ZookeeperKafkaRabbitMQ,Hbase,MongoDB,Cassandra,设计模式负载均衡数据库一致性哈希JAVA算法数据结构,加密算法,分布式缓存,Hadoop,Spark,Storm,YARN,机器学习,云计算共30个章节。

image

2、Redis学习笔记及学习思维脑图

image

3、数据面试必备20题+数据库性能优化的21个最佳实践

image
《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门即可获取!
链图片转存中…(img-SUElRG2Z-1711890391716)]
《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门即可获取!

2401_84010784
关注
  • 14
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于Apache Tomcat存在文件包含漏洞整改方法
01-09
2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定...
Apache Tomcat默认文件漏洞
weixin_43837718的博客
08-07 2万+
Apache Tomcat默认文件漏洞 一、概要 漏洞描述:默认错误页面,默认索引页面,示例JSP和/或示例servlet安装在远程Apache Tomcat服务器上。应删除这些文件,因为它们可能有助于攻击者发现有关远程Tomcat安装或主机本身的信息。 漏洞风险:中 修复建议:删除默认索引页并删除示例JSP和servlet。按照Tomcat或OWASP说明更换或修改默认错误页面。 二、解决办...
幽灵猫 Tomcat文件读取/任意文件包含漏洞(CVE-2020-1938 / CNVD-2020-10487)
m0_62466350的博客
05-11 3805
漏洞是由长亭科技安全研究员发现的存在Tomcat 中的安全漏洞,由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。此外在目标应用有文件上传功能的情况下,配合文件包含的利用还可以达到远程代码执行的危害。
Tomcat文件漏洞问题及处理方式
Doubletree.lin的博客
02-25 5008
学海无涯,旅“途”漫漫,“途”中小记,如有错误,敬请指出,在此拜谢! 一、前情提要 用了万年的tomcat,出现了bug。2月21日,据国家信息安全漏洞共享平台公开的漏洞公告中发现Apache Tomcat文件包含漏洞CNVD-2020-10487(对应CVE-2020-1938),Apache Tomcat服务器中被发现存在文件包含漏洞,攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下...
CVE-2020-1938 Apache Tomcat 文件包含漏洞复现
weixin_43102772的博客
03-09 5354
CVE-2020-1938 Apache Tomcat 文件包含漏洞复现
Tomcat AJP 文件包含漏洞(CVE-2020-1938)
m0_61506558的博客
11-20 7968
1.漏洞简介1.漏洞简介2020年2月20日,公开CNVD 的漏洞公告中发现 Apache Tomcat文件包含漏洞(CVE-2020-1938)。是Apache开源组织开发的用于处理HTTP服务的项目。Apache Tomcat 服务器中被发现存在文件包含漏洞,攻击者可利用该漏洞读取或包含Tomcat上所有webapp目录下的任意文件。该漏洞是一个单独的文件包含漏洞,依赖于Tomcat的AJP(定向包协议)。AJP自身存在一定缺陷,导致存在可控参数。
Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938)
03-05
CNVD-2020-10487 和 CVE-2020-1938 是同一个安全漏洞的不同命名,这个漏洞被称为“Apache Tomcat 文件包含漏洞”。此漏洞存在使得攻击者有可能通过精心构造的请求,将恶意代码注入到Tomcat服务器上,从而执行任意...
关于对Apache Tomcat 文件包含高危漏洞开展安全加固的预警通报(1).doc
07-16
Apache Tomcat 文件包含高危漏洞(CVE-2020-1938 对应 CNVD-2020-10487)是近期发现的一项高危安全漏洞,该漏洞存在Tomcat 服务器的 AJP 协议中,攻击者可以通过构造特定参数的方式,读取服务器 webapp 目录下...
CVE-2020-1938 Apache Tomcat 文件包含EXP
03-29
2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器...
Apache-Tomcat文件包含到RCE漏洞原理深入分析1
08-03
2020年2月20日,CNVD(中国国家信息安全漏洞库)公开了一个关于Apache Tomcat文件包含漏洞,该漏洞被标记为CVE-2020-1938。这个漏洞允许攻击者通过特定的输入,包含并执行Tomcat服务器上webapps目录下的任意文件,...
Apache Tomcat 漏洞复现
来日可期的博客
09-08 4744
Tomcat7 弱密码和后端 Getshell 漏洞,Aapache Tomcat AJP任意文件读取/包含漏洞,通过 PUT 方法的 Tomcat 任意写入文件漏洞
Tomcat漏洞详解
最新发布
m0_64481831的博客
03-06 2749
Tomcat是一种轻量级的web服务器,主要负责运行jsp和Servlet具有任意文件写入漏洞:主要影响7.0-7.8左右,原因是因为配置不当问题(conf/web.xml文件的readonly参数定义为false),导致可以使用PUT方法进行任意文件上传。jsp绕过方法有斜杠绕过、空格绕过和::$DATA绕过(后两者都需要在Windows下)具有文件包含漏洞:主要影响6和8版本,7和9版本有少数;原因是因为AJP协议存在缺陷而导致攻击者可以构造任意参数来进行任意文件包含和读取文件
Apache Tomcat服务器存在文件包含漏洞(CVE-2020-1938)
时光有伱,记忆成花~
08-20 1486
Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等 该漏洞影响的Tomcat版本如下 Apache Tomcat = 6 7 <= Apache Tomcat <7.0.100 8 <= Apache Tomcat <8.5.51 9 <= Apache Tomcat <9.0.31 漏洞原因: Tomcat默认的conf/server....
Apache - Tomcat 漏洞集合
Beret-81的博客
03-29 1万+
Tomcat 漏洞集合及利用一、Tomcat 几个高危漏洞1、Tomcat 远程代码执行漏洞 (CVE-2017-12615)2、Apache Tomcat样例目录session操纵漏洞2、Apache Tomcat样例目录session操纵漏洞2、Apache Tomcat样例目录session操纵漏洞2、Apache Tomcat样例目录session操纵漏洞二、Tomcat 服务器安全配置 ...
Apache Tomcat漏洞总结
星落的博客
04-17 2万+
CVE-2017-12615 任意写文件漏洞 漏洞本质Tomcat配置了可写(readonly=false),导致我们可以往服务器写文件Tomcat文件后缀有一定检测(不能直接写jsp),但我们使用一些文件系统的特性(如Linux下可用`/`)来绕过了限制。 AJP 文件包含漏洞(CVE-2020-1938) 由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文.
Tomcat信息泄露漏洞
lch_pp的博客
09-11 1033
6.删除原来的tomcat8和tomcat,并将新apache-tomcat-8.5.87改为原始的tomcattomcat8,并删除删除新webapps下的examples(示例)# 7.把旧的server.xml;# 1.选择无漏洞的版本,https://tomcat.apache.org/download-80.cgi。# 4.复制旧的tomcattomcat-old下。# 3.备份旧的tomcat。# 5.解压新的tomcat
Apache Tomcat CVE-2020-1938 漏洞
weixin_51194266的博客
06-21 1万+
所选漏洞Apache Tomcat远程代码执行漏洞 漏洞编号:CVE-2020-1938 简单的环境搭建与POC验证
[渗透]Apache Tomcat示例目录漏洞
热门推荐
胖胖的ALEX
02-21 4万+
漏洞等级:中 Apache Tomcat默认安装包含"/examples"目录,该目录包含许多示例servlet和JSP。其中一些示例存在安全风险,不应部署在生产服务器上。 http://localhost:8080/examples/servlets/servlet/SessionExample 示例允许会话操作。因为会话是全局的,所以这个示例会带来很大的安全风险,因为攻击者可用通过操纵其会话来...
常见中间件——Tomcat漏洞复现分析
qq_45751902的博客
10-31 3081
(net命令的路径要写全,直接写net user,Tomcat控制台会提示net不是内部命令,也不是可运行的程序,另 必须使用+号连接,使用空格,%2B都会执行失败,控制台报错。,则在9.0.1(Beta),8.5.23,8.0.47和7.0.82之前的所有Tomcat版本都包含所有操作系统上的潜在危险的CVE-2017-12615漏洞。访问 http://127.0.0.1:8080/manager/html ,输入弱口令tomcat/tomcat进入后台(弱口令可以进行爆破)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值