基于SpringBoot项目的漏洞修复经验

最新推荐文章于 2024-04-24 02:00:00 发布
最新推荐文章于 2024-04-24 02:00:00 发布
阅读量1.8k 收藏 1
点赞数
文章标签: spring boot maven tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27624807/article/details/124820014
版权

说明:开发环境属于局域网环境,与外网不通,导致下载maven包时会遇到各种版本依赖问题,最好的办法就是在外网环境搭建一套一样的开发环境,这样便于更新maven包。本次漏洞扫描涉及到的漏洞有:Tomcat、jackson-databind、fastjson、logback等,普遍解决方法都是通过升级版本。

  1. Tomcat版本升级:
    (1)查看当前Tomcat版本,可以通过项目启动的日志可以看到;还有一种方法是通过idea编辑器右边导航栏中的Maven中的dependencies,查看Tomcat的版本。
    (2)在父pom.xml文件中更新spring-boot-starter-parent版本,其中spring-boot-starter-parent版本对应的Tomcat版本可以在maven资源库中搜索得到https://mvnrepository.com/。
    2、jackson-databind版本升级:
    (1)查看当前版本的jackson-databind可以通过idea编辑器右边导航栏中的Maven中的dependencies,查看jackson-databind版本。
    (2)在父pom.xml中添加
<properties>
	<jackson.version>${所需的jackson版本}</jackson.version>
</properties>

3、fastjson版本升级:
(1)这个升级就比较简单了,在pom.xml中找到对应的fastjson依赖,修改版本即可。
4、logback版本升级:
(1)HIDS扫描的漏洞显示的是logback-classic版本有问题,故只需升级logback-classic版本即可。
(2)在pom.xml文件中添加内容如下:

<dependency>
	<groupId>ch.qos.logback</groupId>
	<artifactId>logback-classic</artifactId>
	<version>${所需版本号}</version>
</dependency>
上任码农
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring框架漏洞整理(Springboot漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 4010
2016年爆出的一个漏洞Springboot漏洞利用条件 至少知道一个触发 springboot 默认错误页面的接口及参数名 利用方法 Springboot漏洞步骤一:找到一个正常传参处 比如发现访问/article?id=xxx,页面会报状态码为 500 的错误:Whitelabel Error Page,则后续 payload 都将会在参数 id 处尝试。 Springboot漏洞步骤二:执行 SpEL 表达式
springboot解决fastJson反序列化漏洞
qq_42184571的博客
01-24 1201
springboot解决fastJson反序列化漏洞 1.fastJson版本升级为>1.2.66 **启动类添加** //解决fastJson反序列化漏洞,关闭autoType static { ParserConfig.getGlobalInstance().setSafeMode(true); }
spring boot项目+nginx 怎么预防文件上传的漏洞
最新发布
keyboard专栏
04-24 524
Spring Boot项目结合Nginx服务器的架构中,防止文件上传漏洞是一个关键的安全考虑。上传漏洞可能导致多种安全问题,包括未授权的文件访问、恶意代码执行和系统信息泄露。
Spring Boot 常见错误及解决方法
热门推荐
weixin_46168289的博客
01-10 1万+
导读【以下文章来源于阿里巴巴中间件 ,作者方剑】 Spring Boot 作为 Java 生态中最流行的开发框架,意味着被数以万计的开发者所使用。下面根据我们自身遇到的问题,加上用户提供的一些反馈,来大致梳理下 Spring Boot 的常见错误及解决方法。 ?配置不对?配置被覆盖? Spring Boot 配置加载过程解析: 1、Spring Boot 配置的加载有着约定俗成的步骤: 从 res...
spring-boot日志框架漏洞修复
专注Java(全栈)应用开发,求知若渴,虚心若愚,talk is cheap, show me the code.
08-12 473
Configuration后面的status,这个用于设置log4j2自身内部的信息输出,可以不设置,当设置成trace时,你会看到log4j2内部各种详细输出。日志级别以及优先级排序: OFF > FATAL > ERROR > WARN > INFO > DEBUG > TRACE > ALL。格式化输出:%date表示日期,%thread表示线程名,%-5level:级别从左显示5个字符宽度 %msg:日志消息,%n是换行符。低于2.6.2的版本都存在log4j注入漏洞。输出控制台日志的配置。...
Apache Tomcat 最新信息泄露漏洞CVE-2023-28708详情及解决方案,springboot版本的对应的内嵌tomcat版本查看,tomcat相关。
CJ_L1995的博客
05-20 3683
Tomcat 最新信息泄露漏洞CVE-2023-28708,解决方案。
Eclipse Jetty CVE-2017-7658、CVE-2018-12538、CVE-2017-7656、CVE-2018-12545、CVE-2017-9735、CVE-2019-10241
蜗牛也需要奔跑
10-11 4922
最近服务器扫描出现jetty安全漏洞,记录下解决方案 解决方案 有两个解决方式,一种是升级jetty,一种更改版本 升级jetty,Maven pom依赖修改版本 <dependencyManagement> <dependencies> <dependency> <groupId>org.eclipse.jetty</groupId> <artifactId>jetty-server</artifactId&
基于微信小程序的健康管理.zip
07-22
同时,为了保证系统的稳定性和安全性,开发团队还对项目进行了全面的测试和漏洞修复,以确保用户数据的安全与隐私保护。 总之,这个基于Java的Spring Boot框架开发的小程序项目具有高度的灵活性、跨平台使用、丰富...
基于微信小程序的药店管理系统.zip
07-22
同时,为了保证系统的稳定性和安全性,开发团队还对项目进行了全面的测试和漏洞修复,以确保用户数据的安全与隐私保护。 总之,这个基于Java的Spring Boot框架开发的小程序项目具有高度的灵活性、跨平台使用、丰富...
基于小程序的企业产品推广系统.zip
07-22
同时,为了保证系统的稳定性和安全性,开发团队还对项目进行了全面的测试和漏洞修复,以确保用户数据的安全与隐私保护。 总之,这个基于Java的Spring Boot框架开发的小程序项目具有高度的灵活性、跨平台使用、丰富...
基于微信小程序的校园兼职系统.zip
07-22
同时,为了保证系统的稳定性和安全性,开发团队还对项目进行了全面的测试和漏洞修复,以确保用户数据的安全与隐私保护。 总之,这个基于Java的Spring Boot框架开发的小程序项目具有高度的灵活性、跨平台使用、丰富...
最新的jackson-databind
11-30
<!-- https://mvnrepository.com/artifact/com.fasterxml.jackson.core/jackson-databind --> com.fasterxml.jackson.core jackson-databind 2.9.7
jackson-databind-2.6.7.3.rar安全版本的包
05-05
jackson-databind-2.6.7.3以下的版本都不安全,存在漏洞,只有2.6.7.3以及以上的才是安全版本,包含所依赖的jackson-core-2.6.7.jar,jackson-annotations-2.6.0.jar
基于微信小程序的付费自习室系统.zip
07-22
同时,为了保证系统的稳定性和安全性,开发团队还对项目进行了全面的测试和漏洞修复,以确保用户数据的安全与隐私保护。 总之,这个基于Java的Spring Boot框架开发的小程序项目具有高度的灵活性、跨平台使用、丰富...
Springboot项目升级Log4j版本修复漏洞
qq_37507261的博客
12-13 3632
排除原本jar包,引入最新版本 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> <exclusions> <exclusion> <groupId>org.springframework.bo
Jackson使用指南
aa1358075776的博客
04-22 755
Jackson包含一个core JAR,和两个依赖core JAR的JAR: Jackson Core Jackson Annotations Jackson Databind 其中Jackson Annotations依赖Jackson Core,Jackson Databind依赖Jackson Annotations。 这三个JAR可以从Maven中央仓库下载,然后放在CLASSP...
fastjson升级安全模式
Mona
11-23 1549
工作中遇到的:fastjson版本升级,修复安全漏洞
山东大学软件学院项目实训-创新实训-山大软院网络攻防靶场实验平台(十二)-任意文件上传漏洞(2)
m0_47470899的博客
04-19 1062
目录前言:2、项目配置3、编写“文件上传漏洞”后端代码4、编写“文件上传漏洞”前端代码5、运行测试 前言: 上一篇博客介绍了关于文件上传漏洞的基础知识,以及基本的漏洞出现点、利用方式、以及如何防护等,并在此基础上思考如何构造一个文件上传漏洞靶场。本篇博客主要记录一下文件上传漏洞靶场的基本实现,以及部分关键代码。 2、项目配置 新建一个 springboot 项目 编写 application.properties: 设置文件上传的相关限制,以及 controller 层的 return 匹配目录 # 设
java 上传文件漏洞修复_文件上传漏洞详解
weixin_36264801的博客
01-31 3736
文件上传漏洞详解前言刷完了upload-labs对文件上传漏洞有了些许认识在此做个小结与记录1、文件上传漏洞概述文件上传漏洞是指由于程序员未对上传的文件进行严格的验证和过滤,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器...
springboot框架漏洞修复方法
07-14
对于Spring Boot框架中的漏洞修复,以下是一些常用的方法: 1. 升级框架版本:及时关注Spring Boot框架的安全公告和更新版本,尽快升级到最新版本,以修复已知的漏洞。 2. 漏洞修复补丁:如果官方发布了特定的漏洞修复补丁,可以将其应用到项目中,以修复已知的漏洞。 3. 安全配置:Spring Boot提供了多种安全配置选项,如启用HTTPS、强化认证、限制访问等。根据具体需求,配置适当的安全措施以减少漏洞风险。 4. 依赖监测:使用工具来监测项目的依赖库是否存在已知的漏洞,并及时更新受影响的依赖。 5. 安全测试:进行安全测试,包括静态代码分析、黑盒测试、白盒测试等,以发现和修复潜在的漏洞。 6. 安全编码实践:采用安全编码实践,如输入验证、防止SQL注入、XSS攻击等,以减少代码中的安全漏洞。 需要注意的是,以上方法只是一些常见的修复措施,具体的修复方法还需要根据具体漏洞的性质和影响范围来确定。此外,保持关注最新的安全资讯和建议,及时更新和修复潜在的漏洞是保障应用安全的重要步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值