.NET Core 2.1.12 与 2.2.6 发布,修复 URL 重定向欺骗漏洞

最新推荐文章于 2024-05-06 21:36:51 发布
最新推荐文章于 2024-05-06 21:36:51 发布
阅读量221 收藏
点赞数
分类专栏: ASP.NET CORE 文章标签: .NET Core

.NET Core 2.1.12 与 2.2.6 发布了,两个版本都包含了相应版本的 .NET Core、ASP.NET Core 与 .NET Core SDK 更新,其中最重要的是都修复了一个安全漏洞:

简单来说,这是 ASP.NET Core 中存在的一个可以导致开放重定向的漏洞,成功利用此漏洞的攻击者可以将目标用户重定向到恶意网站。要利用此漏洞,攻击者可以发送包含特制 URL 的链接,并诱使用户单击该链接。此更新通过修复 ASP.NET Core 分析 URL 的方式解决了该问题。

此外还有关于以下内容的问题修复:

  • CoreCLR
  • CoreFX
  • Core-Setup
  • ASP.NETCore

详情查看更新说明:

转自:https://www.oschina.net/news/108232/dotnet-core-2-1-12-n-2-2-6-released 

寒冰屋
关注
专栏目录
【奇安信安全漏洞】XSS漏洞 重定向漏洞解决及产生分析!_奇安信漏洞
2401_84302583的博客
05-04 989
应用程序的客户端代码从javaScript、document.location、request url、document.url、document.referrer。。或者其他任何攻击者可以修改的浏览器对象获取数据、如果未验证数据是否存在恶意代码的情况下,就将其动态的更新到页面的DOM节点,应用程序将易于收到基于DOM的XSS攻击。既然都明确说明了是从客户端获取的数据,需要校验后才可以使用,那思路就清晰了。如何校验呢?也并不是简单的校验字符而已!在上述修复代码中,我们引入了一个名为。
Luckysheet在线表格 v2.1.12
01-12
为您提供Luckysheet在线表格下载,Luckysheet是一款纯前端类似excel的在线表格,功能强大、配置简单、完全开源。特性:1、格式设置:样式,条件格式,文本对齐及旋转,文本截断、溢出、自动换行,多种数据类型,...
.NET Core 开源库被曝漏洞,可使恶意软件逃避检测,无补丁
smellycat000的专栏
07-06 1442
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队.NET Core库中存在一个漏洞,可导致恶意程序躲避安全软件的检测。该漏洞是由微软 .NET Core 库中的一个路径遍...
检测到目标url存在http host头攻击漏洞_任意URL跳转漏洞
weixin_39841572的博客
12-08 832
任意URL跳转漏洞漏洞简单介绍:服务端未对传入的跳转URL变量进行检查和控制,导致可恶意构造任意一个恶意地址,诱导用户跳转到恶意网站。由于是从可信的站点跳转出去的,用户会比较信任,所以跳转漏洞一般用于钓鱼攻击,通过转到恶意网站欺骗用户输入用户名和密码盗取用户信息,或欺骗用户进行金钱交易。修复漏洞最有效的方法之一就是校验传入的跳转URL参数值,判断是否为预期域名。在Java中可使用下列方法:Str...
URL 重定向漏洞原理以及修复方法
it知识分享 free for nothing..
04-08 1840
URL 重定向漏洞原理以及修复方法
.NET Core 迁移躺坑记
weixin_30235225的博客
04-20 356
最近将自己负责的一个核心接口系统从.Net Framework迁移到了.Net Core。 整体过程,从业务层面说一般般吧(整体还好但还是搞的业务有感,没出严重故障)但是技术层面上感觉其实并没有达到要求,不过预期也是应该不会那么顺利,接下来可能还需要几个小Fix来处理各种奇奇怪怪的问题。 回顾下迁移时候遇到的若干个坑,希望对后续有此类操作的人所有帮助。 1.NetCore下的路由行为和...
HdrHistogram-2.1.12-API文档-中英对照版.zip
05-02
赠送jar包:HdrHistogram-2.1.12.jar; 赠送原API文档:HdrHistogram-2.1.12-javadoc.jar; 赠送源代码:HdrHistogram-2.1.12-sources.jar; 赠送Maven依赖信息文件:HdrHistogram-2.1.12.pom; 包含翻译后的API文档...
libevent 2.1.12版本,编译好的全部文件,包含lib和头文件
09-14
2.1.12这个稳定版本中,libevent继续优化了性能,增加了新的功能,并修复了一些已知问题。 1. **事件模型** Libevent支持多种事件模型,包括基于文件描述符的select、poll、epoll(Linux)、kqueue(FreeBSD和...
HdrHistogram-2.1.12-API文档-中文版.zip
05-05
赠送jar包:HdrHistogram-2.1.12.jar; 赠送原API文档:HdrHistogram-2.1.12-javadoc.jar; 赠送源代码:HdrHistogram-2.1.12-sources.jar; 赠送Maven依赖信息文件:HdrHistogram-2.1.12.pom; 包含翻译后的API文档...
libevent-2.1.12-stable.tar.gz
08-19
《深入理解libevent-2.1.12-stable:高效IO事件处理库解析》 在计算机编程领域,尤其是在服务器开发中,高效的IO处理是关键性能优化环节之一。libevent是一个开源的、跨平台的库,它提供了一个事件通知机制,帮助...
dotnet-hosting-2.1.6-win.exe
12-31
.NET Core 2.1.NET Framework的新一代版本,是微软开发的第一个官方版本,具有跨平台 (Windows、Mac OSX、Linux) 能力的应用程序开发框架 (Application Framework),未来也将会支持 FreeBSD 与 Alpine 平台,也是微软在一开始发展 dotnet-hosting-2.1.6-win 是net core 2.1在服务器上安装的.
asp.net core web框架可能存在哪些漏洞
最新发布
极客神殿
05-06 306
ASP.NET Core 是一个开源的跨平台的 web 应用程序开发框架,它建立在 ASP.NET 框架的基础上,具有更高的性能和可扩展性。为了减少漏洞的风险,开发人员应该实施安全开发最佳实践,如输入验证、输出编码、身份验证和授权、安全的会话管理、日志记录和监控等。此外,及时更新和修补 ASP.NET Core 框架和相关组件也是非常重要的。
如何高效,全面的升级并修复.net core 中被报的一些安全漏洞
key12315的专栏
09-17 715
详情请参考原文:如何高效,全面的升级并修复.net core 中被报的一些安全漏洞http://config.net.cn/server/cloudserver/8d5ad499-34fa-4980-992e-0755b01cccce-p1.html
spring boot 修复 Spring Framework URL解析不当漏洞(CVE-2024-22243)
记录点滴
02-28 1万+
一开始我们尝试直接替换spring-web的版本,但是只替换这一个包的话项目启动会报错,通过实践和反复尝试,我们对spring相关的jar包都进行了覆盖,这样可以保持springboot的版本号不变。如果现有项目的大版本是3.x,直接升级即可,但是有些老项目还停留在2.x的版本,官方并没有针对2.x发布新版本,从2.x直接升级到3.x,代价又比较大。其它已经不受官方支持的版本(5.1.x,5.2.x)同样受到影响,更新到受官方支持的安全版本。查看 springboot的版本,只有最新的。
【安全漏洞】-重定向问题
weixin_47898697的博客
06-26 2748
URL重定向问题是一种常见的安全漏洞,攻击者可以利用它将用户重定向到恶意网站或执行其他恶意操作。为了解决URL重定向问题,您可以采取以下几个步骤:
Tomcat URL重定向漏洞修复
yueluwuhen的博客
03-23 1269
避免攻击者控制跳转的对象将用户发出的相关访问请求时自动跳转到指定位置进行钓鱼、挂马等。
浅谈“URL重定向漏洞
→_→
08-03 4499
一:漏洞名称: URL重定向、跳转漏洞 描述: 服务端未对传入的跳转url变量进行检查和控制,可能导致可恶意构造任意一个恶意地址,诱导用户跳转到恶意网站。由于是从可信的站点跳转出去的,用户会比较信任,所以跳转漏洞一般用于钓鱼攻击,通过转到恶意网站欺骗用户输入用户名和密码盗取用户信息,或欺骗用户进行金钱交易;也可能引发的XSS漏洞(主要是跳转常常使用302跳转,即设置HTTP响应头,Locatioin: url,如果url包含了CRLF,则可能隔断了http响应头,使得后面部分落到了htt
常见漏洞修复方案
热门推荐
Guoke324的博客
09-09 1万+
常见漏洞修复方案,漏洞修复
ASP.NET Core中的OWASP Top 10 十大风险-SQL注入
dotNET跨平台
11-02 599
本博文翻译自: https://dotnetcoretutorials.com/2017/10/11/owasp-top-10-asp-net-core-sql-injection/ OWASP或者说是开放Web应用程序安全项目,这是一个非营利性的组织,其目的是促进安全的web应用程序的开发和设计。当他们在世界各地举办不同的研讨会和活动时,你可能听说过他们,因为“OWASP Top Ten
hdrhistogram 2.1.9 2.1.12
01-29
hdrhistogram是一个用来测量和记录数据分布的开源工具包。2.1.9和2.1.12是hdrhistogram的两个不同版本。这两个版本都是在hdrhistogram的基础上进行改进和优化的。 首先,2.1.9版本是在2.1.8版本的基础上进行升级的。它对hdrhistogram进行了一些重要的改进,包括修复了一些已知的问题和Bug,并引入了一些新的功能和特性。这个版本的主要目标是提高hdrhistogram的性能和稳定性,并增加对不同数据分布的支持。 而2.1.12版本则是在2.1.9版本基础上进行了更多的改进和优化。它修复了一些2.1.9版本中存在的一些问题,并进一步提升了性能和稳定性。此外,2.1.12版本还增加了一些新的功能和API,使得hdrhistogram更加灵活和易于使用。 总的来说,hdrhistogram 2.1.9和2.1.12都是对hdrhistogram进行改进的版本。它们修复了一些问题并增加了新的功能和特性,以提高hdrhistogram的性能和稳定性。用户可以根据自己的需求选择适合的版本来使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值