引用的三方组件已经升级到最新版本,仍然提醒存在安全风险,如何快速解决—— kaptcha 安全漏洞

最新推荐文章于 2024-04-08 10:03:59 发布
最新推荐文章于 2024-04-08 10:03:59 发布
阅读量1.5k 收藏 1
点赞数 1
文章标签: 安全 github 网络安全 spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/126508243
版权

近期有很多小伙伴问了个相同的问题:引用的组件已经是最新版本了,检测还是有漏洞,这样的只能换依赖了吗...

拿 kaptcha 安全漏洞举例:

kaptcha 是个图形验证码的库,使用该组件的人数也非常多,搜 “spring 验证码”,前几篇文章里面就有人在教如何使用这个组件(2022年的文章),国内star比较多的项目同样也在用。

这个漏洞简单来说就是生成验证码的随机函数不够安全,可以相对低成本的破解。该组件风险程度较高,CVSS 评分达9.8,建议使用该组件的项目及研发小伙伴尽快修复该组件。

 

在找解决方案的时候发现,官方没有发布修复后的版本,最新版本就是2.3.2。而GitHub也提示了这个漏洞,也有人去官方仓库下面问,但是没有找到官方修复方案。

有意思的是,18年作者在GitHub上修了,然后没更新maven仓库。而解决方案可以考虑换成pro.fessional:kaptcha 2.3.3版本,或者自己打包一下kaptcha。

最低0.47元/天 解锁文章
开源生态安全OSCS
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kaptcha近期成熟版本
01-08
Kaptcha是一个基于SimpleCaptcha的验证码开源项目。 https://code.google.com/p/kaptcha/w/list
kaptcha-2.3.2-google验证码插件
01-08
Google验证码插件jar包,直接解压存入本地仓库即可使用
Kaptcha安全漏洞CVE-2018-18531解决方案
qq_42859690的博客
01-25 7701
Kaptcha安全漏洞CVE-2018-18531解决方案
ruoyi验证码kaptcha包高危漏洞
最新发布
weixin_44399264的博客
04-08 409
客户现场扫描除了kaptcha生成验证码的高危漏洞,又不想引入其他生成验证码包避免上线麻烦,又要安全检查等扫描,那就最好手撸验证码出来。
maven安装依赖失败的问题:Kaptcha
m0_46198325的博客
06-14 1119
首先我的原意是想从maven仓库中下载一个Kaptcha玩玩,然后去搜索了一些,发现前面最多人使用的验证码居然有依赖漏洞,然后又重新查找了,结果找到一个谷歌出品的验证码框架,但是人家牛逼大气,没有上传到maven的中央仓库,所有通过常规的pom文件导入依赖下载是无法使用的: 代码下载网站 pom文件引用 <!-- https://mvnrepository.com/artifact/com.google.code.kaptcha/kaptcha --> <dependency>
Insecure CAPTCHA漏洞利用以及防御
CH3UHX9
02-28 710
漏洞介绍 CAPTCHA项目是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称,是一种区分用户是计算机和人的公共全自动程序。 使用CAPTCHA可以防止计算机恶意破解密码、刷单等,保证用户是人类(无法快速反复发送请求)。 攻击者绕过CAPTCHA验证后,可以使用恶意脚本操控计算机反复发送请求或者在异地实现绕过验证的CSRF攻击。 漏洞原理 CAPTCHA漏洞
Google验证码jar包 kaptcha2.3.2(永久有效)
weixin_41234121的博客
09-15 1742
链接地址:百度网盘链接 提取码:1024 若是帮助到您,希望可以点赞~ 谢谢您了。
风险组件漏洞及修复办法「持续补充更新」
背锅神童的博客
09-18 3259
漏洞漏洞修复、系统漏洞、权限提升漏洞、本地权限提升、注入漏洞、反序列化漏洞、身份认证绕过漏洞、远程代码执行漏洞、系列漏洞
墨菲安全旗下开源组件安全检测产品murphysec
04-11
代码安全检测:识别您代码项目中存在的开源组件安全漏洞,并快速修复它 许可证合规评估:识别您代码项目中使用的开源组件许可证,检查合规的风险 软件成分分析:识别您代码和基础环境中的三方组件依赖资产,并有效...
Android Studio三方引用报错但是项目可以运行的解决方案
08-26
今天小编就为大家分享一篇关于Android Studio三方引用报错但是项目可以运行的解决方案,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
mosec-node-plugin:用于检测节点项目的第三方依赖组件是否存在安全漏洞
02-05
MOSEC-NODE-PLUGIN用于检测节点项目的第三方依赖组件是否存在安全漏洞。该项目是基于的二次开发。关于我们网址: : 微信:版本要求npm> = 5.2.0使用首先运行无需安装即可使用> cd your_node_project/> npx github:...
通信与网络中的如何应对WiFi带来的安全风险?
10-19
那么在企业里,如何应对和解决WiFi带来的安全风险?相信这已经成为了很多CIO们最关注的问题。Aruba Networks 亚太区及日本区技术顾问吴章铭(Eric Wu)以专家的视角帮助我们找到并分析了三个解决方案和四个防护步骤...
基于 pac4j-jwt 的 WEB 安全组件
11-17
主要依托 pac4j-jwt 来提供默认...更多高级功能只需实现对应接口并注入到spring容器内,本框架各类均不会使用session(pac4j提供的类除外),前后端不分离下,能依托pac4j的各种client快速集成三方登录(redirect跳转那种)
吊篮三方安全协议书.docx
10-01
吊篮三方安全协议书.docx
塔吊安全施工三方协议.docx
10-01
塔吊安全施工三方协议.docx
利用keras破解captcha验证码
清风徐来,水波不兴
11-23 5011
本文参考了知乎上的一篇文章,只做了少许改动,感觉挺好玩的,自己实现了一下,准确率比原作者的要高一些。如果想要了解原创文章的话,请移步知乎:使用深度学习来破解captcha验证码 本文通过keras深度学习框架来实现captcha验证码的识别,具体的环境配置如下: Python:2.7.12 keras:1.2.2 theano:0.9.0rc2 captcha:0.2.4 nu
开源软件漏洞升级步骤
weixin_43012300的博客
07-22 1367
开源软件漏洞检测并升级步骤
kaptcha验证码组件用法
qq_41787812的博客
09-21 215
kaptcha验证码组件用法
以源码交付的开源三方OS文件不需要满足安全编译选项的要求
06-12
这是不正确的。开源三方OS文件同样需要满足安全编译...为了确保开源三方OS文件的安全性,应该使用安全编译选项进行编译,并进行必要的安全测试和代码审核。这可以帮助发现并修复潜在的漏洞,从而提高应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值