J2EE框架DDoS漏洞预警公告

最新推荐文章于 2023-04-15 09:21:23 发布
最新推荐文章于 2023-04-15 09:21:23 发布
阅读量693 收藏
点赞数
分类专栏: Java技术

转自: http://www.inbreak.net/archives/543


http://www.exploit-db.com/exploits/31615/

J2EE框架DDoS漏洞预警

已确认被成功利用的软件及系统:

大部分常见J2EE WEB框架

STRUTS1全版本(只影响使用uploadform的action)

STRUTS2全版本(任何一个action都受影响)

Spring MVC全版本(任何一个controller都受影响)

所有使用了apache commons fileupload的组件的应用,包括纯JSP页面

Commons FileUpload 1.0 to 1.3

部分服务器自带了upload组件,可以直接让JSP调用

Apache Tomcat 8.0.0-RC1 to 8.0.1

Apache Tomcat 7.0.0 to 7.0.50

JBOSS由于重用tomcat源码所以受到影响

漏洞描述:

Apache Commons FileUpload 1.3在处理mime-multipart请求时,攻击者可以构造一个包含异常http头的请求,使得apache fileupload进入无限循环,导致CPU爆满,拒绝服务。

漏洞分析这次就不发了,原理太简单,就是个循环无法退出。

PID   COMMAND   %CPU

8070   mdworker     1.3

8069   sleep           0.0

8066   top             11.2

8064   java            101.2

这个漏洞可以用于攻击大多数J2EE框架,常见J2EE框架,总会默认使用FileUpload组件,并且在所有用户代码前完成上传文件的预处理,这导致无论开发者是否手工调用该组件,都会默认执行。

此漏洞的POC已经被攻击者发布,请尽快修补该问题,以免造成损失。

ps:如果运维过程中,发现CPU无故飙升,可以优先考虑这个因素。

修补方案:

升级Apache Commons FileUpload 1.3.1 或之后版本

升级Apache Tomcat 8.0.2 或之后版本

升级 Apache Tomcat 7.0.51 或之后版本

http://markmail.org/message/kpfl7ax4el2owb3o

http://tomcat.apache.org/security-8.html

http://tomcat.apache.org/security-7.html

Poineer1213
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java开源--常见J2EE框架简介
03-04
SpringFramework Spring是一个解决了许多在J2EE开发中常见的问题的强大框架。Spring提供了管理业务对象的一致方法并且鼓励了注入对接口编程而不是对类编程的良好习惯。Spring的架构基础是基于使用JavaBean属性的...
J2EE常见bug
学习印记 Learning imprint
08-12 1408
java.lang.IncompatibleClassChangeError: class org.hibernate.cfg.ExtendedMappings has interface org.hibernate.cfg.Mappings as super class
j2ee的安全性问题。J2ee的安全性存在太大的漏洞,未来的希望是Acegi!已经开始翻译Acegi参考文档的工作!
【良少课堂】
10-13 1776
j2ee的安全性问题。J2ee的安全性存在太大的漏洞,未来的希望是Acegi!      我已经开始翻译Acegi参考文档的工作。  不过,部分简单的英语,我没有翻,  先出来第一版再说!  相信大家能够看得懂!
最近一些J2EE bug总结
zhw_2009的专栏
02-25 158
JavaEE项目中bug总结 [b]一.[/b] java.lang.NullPointerException at org.apache.jsp.index_jsp._jspInit....[/b] 这个bug是我在转myeclipse项目到eclipse-jee / springSource中遇到的错误 原因是拷贝了一个jsp-api.jar的包到WEB-INF/lib目录...
渗透测试之验证码参数可控造成的 DDOS 攻击漏洞
Adminxe的博客
05-04 1284
0x00 准备 环境:VMware IP:192.168.1.6 系统:windows 2008 R2 WEB:PHPCMS V9.63 工具:Burp Suite 0x01 复现 1、部署网站准备 将 PHPCMS 安装包解压到 phpstudy 的网站根目录下。 访问站点 ip:192.168.1.6,安装 phpcms。 进入后台。 生成首页。完成部署。 2、利...
开发框架漏洞
weixin_56378389的博客
04-15 445
Struts2;Thinkphp
j2ee框架技术课设报告.doc
07-05
一份挺好的j2ee课程设计报告!
基于J2EE框架的个人博客系统项目
06-11
基于J2EE框架的个人博客系统项目
j2ee框架api
01-23
j2ee常用的框架Servlet,Struts2,Spring,Hibernate3 tomcat5的APi
J2EE工程实现中常见安全问题解决对策
纯月部落
05-16 1984
by fleshwound (http://www.smatrix.org)(注:这是我们的完整设计中的一部分,其它有些部分尚要求保密,希望这个拙文能给做J2EE项目的兄弟们带来点帮助,有任何关于JAVA安全和密码学理论和应用的问题可以来我们的论坛:http://bbs.smatrix.org)   近年来,随着互连网和计算机的普及,电子商务和电子政务成为当今社会生活的重要组成部分,以网上订购和网
「系统架构」阮一峰:如何有效防范DDOS攻击
起风了
09-03 1148
一个多月前,我的个人网站遭受 DDOS 攻击,下线了50多个小时。这篇文章就来谈谈,如何应对这种攻击。 需要说明的是,我对 DDOS 并不精通,从没想过自己会成为攻击目标。攻击发生以后,很多素昧平生的朋友提供了各种帮助和建议,让我学到了很多东西。这里记录的就是对我最有帮助的一些解决方案。 一、DDOS 是什么? 首先,我来解释一下,DDOS 是什么。 举例来说,我开了一家餐厅,正常情况下,...
java 漏洞挖掘_Java反序列化漏洞的挖掘、攻击与防御
weixin_39902608的博客
02-13 208
一、Java反序列化漏洞的挖掘1、黑盒流量分析:在Java反序列化传送的包中,一般有两种传送方式,在TCP报文中,一般二进制流方式传输,在HTTP报文中,则大多以base64传输。因而在流量中有一些特征:(1)TCP:必有aced0005,这个16进制流基本上也意味者java反序列化的开始;(2)HTTP:必有rO0AB,其实这就是aced0005的base64编码的结果;以上意味着存在Java反...
【java代码审计】web漏洞挖掘(炼石计划)
小白鸽
08-07 594
java代码审计
高级色系PPT11.pptx
05-08
高级色系PPT11.pptx
node-v7.9.0-linux-x86.tar.xz
最新发布
05-08
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于tensorflow的的cnn卷积神经网络的图像识别分类
05-08
【作品名称】:基于tensorflow的的cnn卷积神经网络的图像识别分类 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
### 数据分析概念、使用技巧、优缺点的文章
05-08
数据分析是指通过收集、清洗、处理和解释数据,以发现其中的模式、趋势和关联,从而提供决策支持或洞察见解的过程。它在各行各业中都扮演着至关重要的角色,从市场营销到科学研究,从金融领域到医疗保健,都有广泛的应用。
对微信帐单进行数据分析
05-08
#pip install pandas -i https://mirrors.aliyun.com/pypi/simple #安装pandas处理数据模块 #pip install xlwt -i https://mirrors.aliyun.com/pypi/simple #安装excel模块 #pip install openpyxl #从微信导出对帐帐单 import pandas as pd #引入pandas,重命名为pd,Python3.9.10版本的Pandas无法兼容低版本的xls import numpy as np #导入均值模块 #从第17行读取csv格式的帐单 df = pd.read_csv('微信支付账单(20230101-20230401).csv',header=16) #分析数据 ...... #将分析数据另存为out.xlsx ..... #进行交易进间分析 ...... #统计交易对方 ...... #将结果保存到excel ..... writer.close()
基于J2EE框架实现一个在线考试系统
05-03
好的,我明白了。针对您的问题,基于 J2EE 框架实现一个在线考试系统可以分为以下几个步骤: 1. 设计数据库结构,包括考试题目、考试成绩、用户信息等表格,以及它们之间的关系。 2. 实现用户注册、登录、身份验证等功能,确保考生身份信息安全。 3. 开发试卷生成模块,支持多种题型(如单选、多选、填空、简答等),并支持随机或手动排序。 4. 编写考试监管模块,包括限制考生退出考试、时间监管等功能,确保考试过程的公平合法。 5. 开发成绩统计模块,支持自动批改和手动批改两种方式,同时对试卷成绩进行统计和分析。 6. 设计并实现考试结果展示界面,方便考生查看成绩和答案,调整自己的学习方向。 以上是一个在线考试系统的基本框架,需要根据实际需求进行详细调整和优化。希望我的回答对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值