Apache CXF Aegis databinding SSRF 高危漏洞修复

最新推荐文章于 2024-07-17 23:45:30 发布
最新推荐文章于 2024-07-17 23:45:30 发布
阅读量1.4k 收藏 24
点赞数 15
分类专栏: java 文章标签: apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dongjing991/article/details/139149163
版权

一、漏洞修复

Apache CXF Aegis databinding SSRF漏洞

Spring Web UriComponentsBuilder URL解析不当漏洞 

二、修复步骤

1、Apache CXF Aegis databinding SSRF漏洞修复

步骤:

进入服务器搜索 databinding

find  -name  '*databinding*'

发现版本是3.1.6

果断升级到3.5.8

            <dependency>
                <groupId>org.apache.cxf</groupId>
                <artifactId>cxf-rt-frontend-jaxws</artifactId>
                <version>3.5.8</version>
            </dependency>
            <dependency>
                <groupId>org.apache.cxf</groupId>
                <artifactId>cxf-rt-transports-http</artifactId>
                <version>3.5.8</version>
            </dependency>

2、Spring Web UriComponentsBuilder URL解析不当漏洞修复

找到了spring-web

        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-web</artifactId>
            <!-- 修复漏洞升级版本 -->
            <version>5.3.32</version>
        </dependency>

三、maven包升级版本查询

打开https://mvnrepository.com/搜索

如搜索spring-boot

 

获取maven

<!-- https://mvnrepository.com/artifact/org.springframework.boot/spring-boot -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot</artifactId>
    <version>3.2.5</version>
</dependency>

 四、web漏洞修复日常工作

Web漏洞修复是一个涉及多个步骤的过程,旨在识别和修复Web应用程序中的安全漏洞。 

  1. 漏洞识别和评估
    • 使用自动化扫描工具(如Nessus、AppScan、Goby、Nikto、OWASP ZAP等)对Web应用程序进行扫描,以发现潜在的安全漏洞。
    • 分析扫描结果,确定漏洞的类型、严重性和潜在影响。
    • 优先处理那些对系统安全构成严重威胁的漏洞。
  2. 漏洞验证
    • 手动验证自动化扫描工具发现的漏洞,以确保其真实性和可利用性。
    • 尝试利用漏洞,以了解攻击者可能如何利用它们来攻击系统。
  3. 制定修复计划
    • 根据漏洞的严重性和影响范围,制定详细的修复计划。
    • 确定修复漏洞所需的步骤、资源和时间。
    • 分配任务给相应的开发人员或维护人员,并设置修复的截止日期。
  4. 实施修复
    • 根据修复计划,对Web应用程序进行必要的修改和更新。
    • 对于已知的漏洞,可以参考相关的安全公告和修复指南来实施修复。
    • 在修复过程中,注意遵循最佳的安全实践和开发标准。
  5. 验证修复效果
    • 在修复完成后,重新运行自动化扫描工具来验证漏洞是否已被成功修复。
    • 手动验证修复效果,确保系统不再存在已知的安全漏洞。
  6. 记录和报告
    • 记录所有的漏洞信息、修复计划和修复过程,以便将来参考和审计。
    • 编写漏洞修复报告,向管理层或相关利益方报告漏洞修复的结果和状态。
  7. 持续监控和更新
    • 定期对Web应用程序进行安全扫描和漏洞评估,以发现新的安全漏洞。
    • 及时更新系统和应用程序,以修复已知的安全漏洞和潜在的安全风险。
    • 监控安全公告和漏洞信息,以便及时了解新的安全威胁和攻击方式。

除了上述步骤外,以下是一些建议的Web安全最佳实践,可以帮助您减少Web漏洞的风险:

  1. 最小权限原则:只授予应用程序所需的最小权限来执行其任务。这可以减少潜在的安全风险。
  2. 输入验证和过滤:对用户输入进行严格的验证和过滤,以防止恶意输入和攻击。
  3. 错误处理:不要向用户显示详细的系统错误信息,以防止攻击者利用这些信息来攻击系统。
  4. 安全编码实践:遵循安全编码实践和标准,以减少代码中的安全漏洞。
  5. 安全审计和测试:定期对Web应用程序进行安全审计和测试,以确保其安全性和稳定性。

奋力向前123
关注
专栏目录
CSRF漏洞剖析
zmzsg100的专栏
12-04 889
CSRF的前世今生
webservice 暴漏接口_WebService小白学习 之 使用CXF工具暴露接口 (2)
weixin_39621235的博客
12-19 557
本篇介绍使用CXF工具暴露接口,不过多介绍,主要看代码。实现过程:1、在pom.xml添加CXF需要jar包:org.apache.cxfcxf-core3.2.5org.apache.cxfcxf-rt-frontend-jaxws3.2.5org.apache.cxfcxf-rt-transports-http-jetty3.2.52、改动上篇的Server.java代码即可:package ...
Apache Spark RCE漏洞CVE-2023-32007)
最新发布
zneVue
07-17 462
Apache Spark 3.4.0 之前版本存在命令注入漏洞,该漏洞源于如果ACL启用后,HttpSecurityFilter 中的代码路径可以允许通过提供任意用户名来执行模拟,这将导致任意 shell 命令执行。
Apache CXF多个远程拒绝服务漏洞(CVE-2013-2160)
weixin_30426879的博客
07-11 457
漏洞版本: Apache Group CXF <= 2.5.10 Apache Group CXF 2.7.4 Apache Group CXF 2.6.7 漏洞描述: BUGTRAQ ID: 61030 CVE(CAN) ID: CVE-2013-2160 Apache CXF是一个开源服务框架,用于使用JAX-WS、JAX-RS等前端编程API编译和开发服...
使用CXF service 时容易出现的异常
躺在向日葵上睡觉
04-09 348
  问题一:Could not find destination factory for transport   需要加入cxf-rt-transports-http-jetty的jar包,以下是maven中的配置 &lt;dependency&gt; &lt;groupId&gt;org.apache.cxf&lt;/groupId&gt; ...
CXF WEBSERVICE 安全验证
jxdwuao的专栏
06-27 525
CXF 封装的接口,不希望对外暴露 WSDL结构,找到的CXF安全认证技术都是基于拦截器,在调用的时候返回认证错误信息, 不能保护WSDL不被看到,后来看到别人的一个实现方式最简单有效,基于URL拦截的安全保护,用FILTER。现在把这2种安全保护都记录下来,备用。 WSDL保护: 参考:http://www.myexception.cn/open-source/1505475.html ...
apache cxf_jar包
08-04
6. **cxf-rt-databinding-aegis-2.7.12.jar**: Aegis数据绑定模块,提供了一种方式将Java对象直接映射到XML。虽然不常用,但在某些场景下,Aegis可以作为替代JAXB的数据绑定选项。 7. **cxf-rt-ws-policy-2.7.12....
apache-cxf-3.5.0.zip
03-01
"apache-cxf-3.5.0.zip" 文件包含了CXF框架的3.5.0版本,该版本可能包含了一些新特性、改进和错误修复。 1. **Apache CXF 框架概述** Apache CXF 是基于Java的,它允许开发者以Java编程语言来创建并暴露Web服务。...
wsdl2java源码-springboot-apachecxf-client:本项目演示了如何在Springboot中实现apachecxf
06-05
wsdl2java源码springboot-apachecxf-client 本项目演示了如何在Springboot中实现apachecxf客户端,以及如何为客户端调用生成wsdltojava。 Springboot-apachecxf-jaxws 示例 此应用程序展示了如何使用 apachecxf ...
Apache CXF如何把wsdl生成java代码
08-19
Apache CXF如何把wsdl生成java代码 Apache CXF是一款开源的WebService框架,它提供了许多强大的功能,包括WebService的构建、开发和维护。其中,CXF可以把wsdl文件生成java代码,这对于我们开发WebService应用程序...
WebService CXF 对应版本及资源
04-28
WebService CXF 用了一天时间找,官网打不开,国内要积分,下下来又永不了。最后终于搞到手,上传上来分享给大家。 jdk版本 CXF版本 java 9及以上 3.3.x java 8 3.x java 7 2.2x --- 3.2之前版本 java 6 3.1 之前版本 只能上传一个资源。只有分开上传CXF3.1.15了。
webservice 密码弱口令漏洞病毒防御介绍
04-23
webservice 如果默认为弱口令,很可能被上传病毒文件,此文档较详细的介绍了病毒的特性和病毒的查杀和防御问题。
apache-cxf2.7.18官方版最稳定版本
11-21
这个是apache软件基金会开发的免费WebService框架
WebServiceConfig java springboot利用Apache CXF创建webserice接口配置类
07-31
webserviceApache CXF java springboot利用Apache CXF创建webserice接口 Apache CXF 核心架构是以BUS为核心,整合其他组件。 * Bus是CXF的主干, 为共享资源提供一个可配置的场所,作用类似于Spring的...
正向代理与方向代理--zl
红梅花儿开
07-22 1072
一、正向代理    正向代理是一个位于客户端和原始服务器(origin server)之间的服务器,为了从原始服务器取得内容,客户端向代理发送一个请求并指定目标(原始服务器),然后代理向原始服务器转交请求并将获得的内容返回给客户端。客户端必须要进行一些特别的设置才能使用正向代理。    正向代理的典型用途是为在防火墙内的局域网客户端提供访问Internet的途径。正向代理还可以使用缓冲特性(由
CXF-06:Web Service暴露后如何进行权限控制,CXF拦截器的理论以及如何为CXF的客户端和服务器端添加拦截器
乘风晓栈的博客
10-15 1713
Web Service暴露后所有人都可以调用,如何进行权限控制? 解决思路是:服务器端要求input消息总是携带有用户名、密码信息,————如果没有或不正确,拒绝调用。 * 如果不用CXF等框架,SOAP消息的生成、解析都是程序员负责的,因此无论是添加用户名、密码信息,还是提取用户名、密码信息,都可由程序员的代码完成; * 如果用CXF等框架,SOAP消息的生成、解析都是CXF等框架来完成的,为了让程序员能访问并修改CXF框架所生成的SOAP消息,CXF提供了拦截器;
CXF下的保护暴露在外的web service的方法及注意事项
做最好的自己
05-19 546
最近这几天都在使用CXF作为webservice的组件,试图将公开的webservice加入到保护的范围内。 添加到保护的方法有三种: (1)指定地址访问,即指定一些IP地址,只有这些地址的请求我们的接口才处理。 这种方法我在开发中有使用到,可以通过WEB容器中的Filter类来实现, 只需要检查请求的地址是否在我们指定的地址列表中就可以了。 优点:处于请求响应链的前...
Apache 文件解析漏洞SSRF漏洞原理介绍及代码
qq_49433473的博客
05-30 1333
Apache 文件解析漏洞 SSRF漏洞原理介绍及代码 1. Apache 环境简介 2. Apache 解析漏洞介绍 3. 解析漏洞利用演示 4.利用场景介绍 1. Apache 环境简介 ​ Apache 和 PHP 采用 module 的方式结合(Apache2.2) 2. Apache解析漏洞介绍 ​ Apache 认为一个文件夹可以拥有多个扩展名,哪怕没有文件名,也可以拥有多个扩展名。 Apache 认为应该从右边到左开始判断解析方法的。如果最右侧的拓展名为不可识
Apache CXF用springboot使用什么依赖
06-10
要在Spring Boot应用程序中使用Apache CXF,您需要使用以下依赖项: ```xml <dependency> <groupId>org.apache.cxf</groupId> <artifactId>cxf-spring-boot-starter-jaxws</artifactId> <version>${cxf.version}</version> </dependency> ``` 或者,如果您使用JAX-RS前端,则可以使用以下依赖项: ```xml <dependency> <groupId>org.apache.cxf</groupId> <artifactId>cxf-spring-boot-starter-jaxrs</artifactId> <version>${cxf.version}</version> </dependency> ``` 这些starter依赖项将自动配置CXF和Spring Boot所需的所有依赖项。您还可以使用其他CXF starter依赖项来添加WS-Security、Swagger、JAXB、FastInfoset等功能。需要注意的是,您需要将`${cxf.version}`替换为您使用的CXF版本。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

奋力向前123

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值