SpringBoot1.5.8 简单解决Spring框架RFD(反射型文件下载)漏洞

最新推荐文章于 2022-11-01 13:49:17 发布
最新推荐文章于 2022-11-01 13:49:17 发布
阅读量1.1k 收藏
点赞数
分类专栏: SpringBoot 文章标签: spring boot 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lu200601051315/article/details/108775470
版权

标题SpringBoot1.5.8 简单解决Spring框架RFD(反射型文件下载)漏洞

我的程序采用的是springboot+gradle模式,
修复此漏洞的版本为Spring Framework:
5.2.9
5.1.18
5.0.19
4.3.29
而我的springboot版本为1.5.8只能将spring Framework版本由默认的4.3.12升级为4.3.29。需要修改build.gradle配置文件,增加Spring Framework的版本要求:
ext {
springVersion = ‘4.3.29.RELEASE’
}
allprojects {
dependencies {
dependency(“org.springframework:spring-aop: s p r i n g V e r s i o n " ) d e p e n d e n c y ( " o r g . s p r i n g f r a m e w o r k : s p r i n g − b e a n s : {springVersion}") dependency("org.springframework:spring-beans: springVersion")dependency("org.springframework:springbeans:{springVersion}”)
dependency(“org.springframework:spring-context: s p r i n g V e r s i o n " ) d e p e n d e n c y ( " o r g . s p r i n g f r a m e w o r k : s p r i n g − c o n t e x t − s u p p o r t : {springVersion}") dependency("org.springframework:spring-context-support: springVersion")dependency("org.springframework:springcontextsupport:{springVersion}”)
dependency(“org.springframework:spring-core: s p r i n g V e r s i o n " ) d e p e n d e n c y ( " o r g . s p r i n g f r a m e w o r k : s p r i n g − e x p r e s s i o n : {springVersion}") dependency("org.springframework:spring-expression: springVersion")dependency("org.springframework:springexpression:{springVersion}”)
dependency(“org.springframework:spring-jdbc: s p r i n g V e r s i o n " ) d e p e n d e n c y ( " o r g . s p r i n g f r a m e w o r k : s p r i n g − o r m : {springVersion}") dependency("org.springframework:spring-orm: springVersion")dependency("org.springframework:springorm:{springVersion}”)
dependency(“org.springframework:spring-oxm: s p r i n g V e r s i o n " ) d e p e n d e n c y ( " o r g . s p r i n g f r a m e w o r k : s p r i n g − t e s t : {springVersion}") dependency("org.springframework:spring-test: springVersion")dependency("org.springframework:springtest:{springVersion}”)
dependency(“org.springframework:spring-tx: s p r i n g V e r s i o n " ) d e p e n d e n c y ( " o r g . s p r i n g f r a m e w o r k : s p r i n g − w e b : {springVersion}") dependency("org.springframework:spring-web: springVersion")dependency("org.springframework:springweb:{springVersion}”)
dependency(“org.springframework:spring-webmvc:${springVersion}”)
}
}

第二种方法就是springboot升级到2.3.4,、2.2.10,、2.1.17三个版本,默认对应的spring Framework版5.2.9、5.1.18、5.0.19也可以修复此问题。
我也试过springboot升级到2.1.17版本,经过一番修改程序没有问题,却在打包后部署到weblogic12C版本时提示 tomcat-embled-el-9.0.38.jar!/META-INF/web-fragment.xml problem:cvc-enumeration-valid:string value ‘4.0’ is not a valid enumeration value for web-app-versionType is namespace。目前还在研究中,估计是因为版本冲突的原因。

继续努力的江
关注
专栏目录
Spring Framework 反射文件下载漏洞(CVE-2020-5421)复现
玄道的网安博客
12-30 4363
漏洞概述 Spring是一个Java/Java EE/.NET的分层应用程序框架Spring Framework 存在反射文件下载漏洞 。 此漏洞由于Spring Framework并没有对filename传入的文件名进行严格的安全检测,攻击者可以通过截断的方式控制filename变量值,下载任意格式的文件。 影响版本 Spring Framework 5.2.0 – 5.2.2 Spring Framework 5.1.0 – 5.1.12 Spring Framework ..
VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中
罗彬桦的博客
08-25 622
漏洞描述: VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中,公布了一个存在于Spring Framework中的反射文件下载(Reflected File Download,RFD漏洞CVE-2020-5421。 CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5
「安全」SPRING FRAMEWORK反射文件下载漏洞
qq_18535553的博客
07-09 1727
「安全」SPRING FRAMEWORK反射文件下载漏洞 前言: 21年5月我在发布了自己的博客在服务器上后,仅一天就收到了腾讯云发的安全报警:“spring框架反射文件下载漏洞”并且在一天之内被异地异常登录攻击了11次(要知道我的域名审批没有下来,要访问我的博客只能通过公网的ip地址)因此,在收到异常报告后我就开始搜索相关信息,并且找到了一年前发布的安全公告。 综述: 20年9月,VMware Tanzu发布安全公告,公布了一个存在于Spring Framewo...
CVE-2020-5398:VE CVE-2020-5398-Spring MVC的RFD反射文件下载)攻击
04-15
CVE-2020-5398-Spring MVC的RFD反射文件下载)攻击 在Spring Framework(版本低于5.2.3的5.2.x,版本5.1.13的5.1.x和版本5.0.16的5.0.x)中,应用程序在受到攻击时很容易受到反射文件下载RFD)攻击在响应中设置“ Content-Disposition”标头,其中filename属性是从用户提供的输入派生的。 使用 ./gradlew bootrun 听127.0.0.1:8080 。 $ curl 'http://127.0.0.1:8080/?filename=sample&contents=Hello, World' --dump-header - HTTP/1.1 200 Content-Disposition: attachment; filename="sample.txt" Content-Type:
Spring Framework反射文件下载漏洞
05-08
Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和更旧的不受支持版本中,可能会绕过CVE-2015-5211对RFD攻击的保护,具体取决于通过使用jsessionid路径参数使用的浏览器。
spring-boot-test-1.5.8.RELEASE.zip_spring_spring boot_springboot
09-14
标题中的"spring-boot-test-1.5.8.RELEASE.zip_spring_spring boot_springboot"揭示了我们讨论的主题是关于Spring Boot测试模块的一个特定版本,即1.5.8.RELEASE。Spring Boot是一个由Pivotal团队创建的Java框架,它...
快速构建Spring Boot 1.5.8 maven Web 项目
On Road ...
09-05 3980
本文讲述如何快速构建基于spring boot 1.5.8的maven项目
spring-boot-cli-1.5.8
11-26
Spring Boot CLI 1.5.8:微服务框架与命令行工具的高效实践》 Spring Boot CLI(Command Line Interface)是Spring框架提供的一款强大的命令行工具,它使得基于Spring的应用程序开发变得更加简单和快捷。Spring ...
[SpringBoot] 配置文件导入
沫洺的博客
10-23 916
Spring Boot配置文件导入
SpringBoot使用spring.config.import多种方式导入配置文件
m0_67401153的博客
08-02 1848
这里是代码001]从2.4.x版本开始支持了导入文件的方式来加载配置参数,与[这里是代码002]不同的是不用提前设置而且支持导入的文件类相对来说要丰富很多。我们只需要在[这里是代码003]配置文件中通过[这里是代码004]属性配置需要导入的文件列表即可。通过[这里是代码005]属性支持导入多种途径的配置文件,下面简单介绍几种。使用方式是多样化的,如果你需要自定义导入的方式,可以借鉴nacos对其实现的部分代码。...
Spring框架反射文件下载漏洞 CVE-2020-5421
WgRui的博客
12-16 4741
Spring升级
关于Spring Framework反射文件下载漏洞风险 和 解决
天弃的博客
04-20 2947
VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、 5.1.0-5.1.17、 5.0.0-5.0.18、 4.3.0-4.3.28和较旧的不受支持的版本中,公布了一个存在于Spring Framework中的反射文件下载(Reflected File Download,RFD漏洞CVE-2020-5421。 CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-52..
Spring MVC的RFD-反射文件下载(cve-2020-5398)
Li-D的博客
09-16 1760
漏洞描述 Spring MVC的RFD反射文件下载漏洞)为攻击客户端的漏洞,当响应中设置了“Content-Disposition”头且filename属性是用户可控时容易受到RFD攻击。 攻击应满足以下所有条件才可成功: 1、响应header是通过org.springframework.http.ContentDisposition进行添加的; 2、文件名是通过以下方式之一设置的: ContentDisposition.Builder#filename(String) ContentDispositi
spring MVC_RFD 文件下载 (CVE-2020-5398)
小小猪的博客
12-29 873
spring MVC_RFD 文件下载 (CVE-2020-5398) 漏洞描述: Pivotal Software(Spring系列)官方发布 Spring Framework 存在 RFD反射文件下载漏洞)的漏洞报告,此漏洞为攻击客户端的漏洞,官方将漏洞严重程度评为高。报告指出,当响应中设置了“Content-Disposition”头且filename属性是用户可控时容易受到RFD攻击。攻击应满足以下所有条件才可成功: 1.header使用org.springframework.http.C.
spring boot 1.5.8.RELEASE 版本启动报错
smollsnail的博客
11-08 2927
spring boot 1.5.8.RELEASE 版本启动报错起因:新建spring boot项目选择1.5.8.RELEASE版本后生成项目,配置好application.properties后启动项目,报错。 Caused by: java.lang.ClassNotFoundException: org.springframework.core.env.EnvironmentCapable
spring框架漏洞整理(Spring Framework漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 1559
spring框架漏洞整理之Spring Framework漏洞(CVE-2015-5211)Spring Framework 内容协商机制(content-negotiation)反射文件下载(RFD)。 RFD,即 Reflected File Download 反射文件下载漏洞,是一个 2014 年来自 BlackHat 的漏洞。这个漏洞在原理上类似 XSS,在危害上类似 DDE:攻击者可以通过一个 URL 地址使用户下载一个恶意文件,从而危害用户的终端 PC。 这个漏洞很罕见,大多数公司会认为它是
weblogic上传项目时VALIDATION PROBLEMS WERE FOUND
d553184的博客
08-12 1739
weblogic上传项目时VALIDATION PROBLEMS WERE FOUND这是详细报错解决 这是详细报错 VALIDATION PROBLEMS WERE FOUND /u01/Middleware/user_projects/domains/base_domain/weblogic.utils.classloaders.GenericClassLoader@d495acd finder: weblogic.utils.classloaders.CodeGenClassFinder@468672
ruoyi整合netty,部署到weblogic
mian0ting的博客
02-16 2714
ruoyi整合netty,部署到weblogic遇见的问题记录
【java】Weblogic12C部署xcf项目(jdk1.8)记录-2018年4月29日
04-29 4027
【前言】    因为客户是银行,认为商业软件追责和寻求技术支持更可靠,所以坚持要求使用weblogic部署。    本来认为war包从tomcat上迁移到weblogic只是一个很简单的问题。没想到踩到个大雷。 大概花了三天的时间才把包成功的在weblogic服务器上运行起来。【正文】   需要考虑的问题:   1.weblogic 版本与jdk版本对应的问题   刚开始服务器上安装的weblog...
springboot版本1.5.8.RELEASE @SpringBootTest
最新发布
10-18
`@SpringBootTest`是Spring Boot提供的一个测试注解,它主要用于集成测试,尤其是在单元测试之外需要启动整个Spring应用上下文的场景。在Spring Boot 1.5.8.RELEASE 版本中,当你在一个测试类上使用这个注解时,Spring会自动配置并初始化一个完整的Spring应用环境,包括数据源、Web服务器(如果应用是基于Web的)和其他必要的组件。 使用`@SpringBootTest`的好处有: 1. **简化测试设置**:避免手动配置大量依赖项,如数据库连接等,使得测试更聚焦于业务逻辑。 2. **真实环境模拟**:能运行在接近生产环境的状态下,有助于发现潜在的问题。 3. **整合测试**:可以测试服务之间的交互,特别是对于依赖外部资源的服务。 在Spring Boot 1.5.8中,你可能会这样使用它: ```java @SpringBootTest(classes = YourApplication.class) public class YourIntegrationTest { // 这里你可以注入依赖,编写测试用例 } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值