三方检测-服务及服务器扫描问题及处理方案

最新推荐文章于 2024-03-16 15:30:59 发布
最新推荐文章于 2024-03-16 15:30:59 发布
阅读量2.2k 收藏 1
点赞数
文章标签: 服务器 运维 三方检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27808011/article/details/132836601
版权

文章目录

省流

(1)所有中间件、软件,在部署的时候必须增加账号密码限制,且密码不能为弱密码
(2)所有中间件、软件,在部署前,一定要更新到最新的小版本,不要用旧的小版本部署
(3)各类软件提前准备好相关配置

具体问题

JAVA JMX相关

JAVA JMX agent不安全的配置漏洞【原理扫描】

详细描述

在远程主机上运行的Java JMX代理被配置为没有SSL客户端和密码认证。一个未经认证的远程攻击者可以连接到JMX代理,并监视和管理启用了该代理的Java应用程序。

此外,这种不安全的配置可以让攻击者创建一个javax.management.loading.MLet MBean,并使用它从任意的URL创建新的MBean,至少在没有安全管理器的情况下。换句话说,攻击者可以在远程主机上根据远程Java VM的安全上下文执行任意代码。

解决办法

正确配置JMX服务:
1.开启认证
2.限制访问IP

Java JMX 未授权访问漏洞【原理扫描】

详细描述

Java Management Extensions(JMX)是Java平台的一种管理和监控扩展,允许应用程序和系统在运行时进行管理和监控。JMX支持两种连接方式:本地连接和远程连接。本地连接是指在运行JMX代理的本地机器上进行连接,而远程连接则是允许通过网络从其他计算机连接到JMX代理。

默认情况下,JMX代理在Java进程中启用了远程连接功能,并且没有进行适当的安全配置。这就意味着攻击者可以通过远程连接的方式,直接访问Java应用程序的JMX代理,而无需进行任何认证授权。攻击者可以连接并执行一些敏感或危险的操作,例如:

  1. 获取敏感信息:攻击者可以通过JMX代理获取目标应用程序的运行时信息,包括内存使用情况、线程堆栈信息、配置参数等。
  2. 修改运行时参数:攻击者可能会修改应用程序的运行时参数,导致应用程序行为异常,甚至拒绝服务。
  3. 执行代码:如果攻击者获得了足够的权限,他们可能会通过JMX代理执行任意Java代码,这可能导致系统被入侵或者远程控制。
  4. 拒绝服务攻击:攻击者可以通过远程连接,大量请求目标应用程序的JMX代理,导致系统资源耗尽,造成拒绝服务情况。
解决办法

该漏洞属于配置不当漏洞,无法通过更新软件的方法进行修复,下面是几种安全的配置方法:

  1. 禁用远程JMX访问:在生产环境中,应该禁止远程JMX访问,以防止未授权的外部连接。只允许本地连接是一个比较安全的做法。
  2. 配置JMX认证和授权:通过配置JMX访问控制,要求用户进行身份验证,并根据需要授予相应的权限。可以使用标准Java认证方法,如用户名/密码或者证书来进行认证。
  3. 使用防火墙限制访问:在服务器上设置防火墙规则,只允许特定IP地址或IP地址段连接到JMX端口。
  4. 修改JMX远程端口:如果不需要远程连接,可以修改JMX的远程连接端口,避免默认端口被攻击者扫描到。

Nginx相关

nginx 缓冲区错误漏洞(CVE-2022-41741)

详细描述

此插件基于版本检测,有可能误报,未开启 MP4 模块的nginx属于误报,请忽略该漏洞。
Nginx是美国Nginx公司的一款轻量级Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。
Nginx在 ngx_http_mp4_module 中存在漏洞,这可能允许攻击者激发 worker 进程的崩溃,或者通过使用特制的 mp4 文件致使 worker 进程出现内存泄露。该问题仅影响启用了 ngx_http_mp4_module 模块(默认不启用)并在配置文件中使用 .mp4 指令的 NGINX。此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。

https://mailman.nginx.org/pipermail/nginx-announce/2022/RBRRON6PYBJJM2XIAPQBFBVLR4Q6IHRA.html

解决方案

缓解措施:只允许受信用户发布音频和视频文件,或者在 NGINX 配置中禁用 MP4 模块,直到升级至修复版本。

厂商补丁:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://nginx.org/download/patch.2022.mp4.txt

nginx 越界写入漏洞(CVE-2022-41742)

详细描述

此插件基于版本检测,有可能误报。
Nginx是美国Nginx公司的一款轻量级Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。
Nginx Plus 的模块 ngx_http_hls_module 中存在一个漏洞,该漏洞可能允许本地攻击者破坏 NGINX 的工作进程内存,从而导致其崩溃或在使用特制的音频或视频文件时产生其他潜在的影响。只有当配置文件中使用 hls 指令时,该问题才会影响 Nginx Plus。
此外,只有当攻击者可以触发使用模块 ngx_http_hls_module 对特制音频或视频文件进行 处理时,攻击才有可能成功。一次成功的利用可能允许一个本地攻击者破坏 NGINX 的 worker 进程,导致其中止或其他潜在的影响。

https://mailman.nginx.org/pipermail/nginx-announce/2022/RBRRON6PYBJJM2XIAPQBFBVLR4Q6IHRA.html

解决方案

缓解措施:只允许受信用户发布音频和视频文件。或者在 NGINX 配置中禁用 HLS 模块,直到升级至修复版本,可缓解此风险。

厂商补丁:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://nginx.org/download/patch.2022.mp4.txt

未授权相关

详细描述

这部分内容,都是软件未增加账号密码限制,使服务器可直接进行登录,所以在服务搭建时,中间件一定要增加账号密码限制,且账号密码不能为弱密码。

比如MongDB、Elasticsearch、Redis等

其他

Swagger API 未授权访问漏洞【原理扫描】

详细描述

Swagger 是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。总体目标是使客户端和文件系统作为服务器以同样的速度来更新。相关的方法,参数和模型紧密集成到服务器端的代码,允许API来始终保持同步。

Swagger生成的API文档,是直接暴露在相关web路径下的。所有人均可以访问查看。通过这一点即可获取项目上所有的接口信息。那么结合实际业务,例如如果有文件读取相关的接口,可能存在任意文件下载,相关的业务访问可能存在未授权访问等。

参考链接:
https://www.sec-in.com/article/476

解决方案

详见“https://blog.csdn.net/qq_27808011/article/details/132715653?spm=1001.2014.3001.5501”

Oracle、MySQL、Tomcat等软件的漏洞相关

详细描述

如下图所示:

image-20230912162758598 image-20230912163156688
解决方案

这类问题,保证在大版本不动的情况下,只要更新到最新的小版本即可。
----------------------------------END----------------------------------

天行健,君子以自强不息;地势坤,君子以厚德载物

Doubletree_lin
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
人工智能-项目实践-html-基于标准C库实现嵌入式RTSP服务器.zip
12-27
人工智能-项目实践-html-基于标准C库实现嵌入式RTSP服务器 本Demo基于标准C库编写实现嵌入式RTSP服务器,主要用于网络摄像头/网络录像机提供RTSP直播预览服务 版本:rtsp_demo_20170329 学习RTSP时写的一个简易的RTSP服务器源码 支持H264/H265/aac/g726/G711A流 支持多通道 不依赖三方库 支持windows及linux,vs2010/gcc编译
一文解决:Swagger API 授权访问漏洞问题
LiamHong_的博客
10-27 1万+
是一个用于设计、构建、文档化和使用风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,授权访问可能会导致安全漏洞。本文将介绍如何解决问题
swagger 授权访问漏洞修复,这可能是你看到的最好的解决方案
记录点滴
09-26 1万+
大多数人都是直接禁用swagger,这样一来就给开发人员带来了负担,因为需要解决接口文档的问题,相信大家用惯了swagger文档,都不愿意自己再去手动写接口文档了。swagger授权访问主要的路径如下,根据版本不同或者自定义的路径,可能会有一定的差异,自定义路径的只需要把自己的路径添加进来即可。通过以上方式,即解决了swagger授权访问问题,又解决了通过token授权访问问题!怎样才能方便的修复授权访问漏洞,同时又能通过验证正常访问swagger文档呢?的方式对请求进行验证,
详细解决:Swagger API 授权访问漏洞问题
最新发布
weixin_71807218的博客
03-16 2960
这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!
授权漏洞
Dasdwer的博客
03-24 5293
授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。
Swagger API漏洞利用-JavaScript开发
05-26
Swagger API Exploit 这是一个 Swagger REST API 信息泄露利用工具。 主要功能有: 遍历所有API接口,自动填充参数 尝试 GET / POST 所有接口,返回 Response Code / Content-Type / Content-Length ,用于分析接 Swagger API Exploit 这是一个 Swagger REST API 信息泄露利用工具。 主要功能有: 遍历所有API接口,自动填充参数 尝试 GET / POST 所有接口,返回 Response Code / Content-Type / Content-Length ,用于分析接口是否可以授权访问利用 分析接口是否存在敏感参数,例如url参数,容易引入外网的SSRF漏洞 检测 API认证绕过漏洞 在本地监听一个Web Server,打开Swagger UI界面,供分析接口使用 使用Chrome打开本地Web服务器,并禁用CORS,解决部分API接口无法跨域请求的问题 当工具检测到HTTP认证绕过漏洞时,本地服务器拦截API文档,修改path,以便直接在Swagger
Swagger接口授权访问漏洞
lanren312的博客
06-16 5947
处理办法,加上enable(false)或者将SwaggerConfig给注释掉,弊端就是你自己也访问不了接口文档。通过下面链接可以获取到接口信息。
Swagger API 信息泄露漏洞原理扫描】 怎么修补漏洞
weixin_42596011的博客
02-09 3552
首先,你需要检查 Swagger API 中的所有信息泄露漏洞,然后按照安全性的要求进行修补和更新。其次,你应该检查 Swagger API 中的权限管理,并确保只有授权的用户才能访问 API 接口。最后,你应该定期扫描 Swagger API,以确保它们仍然处于安全状态。 ...
Swagger API 信息泄露漏洞解决方案
热门推荐
J_com的博客
02-24 1万+
Swagger API 信息泄露漏洞解决方案
swaggerui授权访问漏洞笔记
enthan809882的博客
06-13 8968
swaggerui授权访问漏洞笔记
java jmx agent不安全的配置漏洞
weixin_51378457的博客
03-15 4368
APP应该以明示或自愿同意的方式告知用户其需要收集的信息类型、范围、目的、使用方法、储存期限、安全保护措施等信息,并在获得用户授权前明确告知用户数据是否会分享、转让等情况。在搜集用户信息时,需明确具体收集哪些信息,以及收集的目的和用途等。APP应该尊重用户的知情权、选择权、访问权、更正权、删除权、注销权等权益,让用户能够随时查看自己的信息,可以对其进行更正、删除等操作。APP应该合法、公正地收集个人信息,包括在合法法律、法规、规章、标准规定范围内的行为,如经过用户授权同意,且该同意为自愿行为等。
这是一个基于node.js的抓取三方直播主播数据的服务器开源项目.zip
01-17
软件开发设计:应用软件开发、系统软件开发、移动应用开发、网站开发C++、Java、python、web、C#等语言的项目开发与学习资料 硬件与设备:单片机、EDA、proteus、RTOS、包括计算机硬件、服务器、网络设备、存储设备、移动设备等 操作系统:LInux、树莓派、安卓开发、微机操作系统、网络操作系统、分布式操作系统等。此外,还有嵌入式操作系统、智能操作系统等。 网络与通信:数据传输、信号处理、网络协议、网络与通信硬件、网络安全网络与通信是一个非常广泛的领域,它涉及到计算机科学、电子工程、数学等多个学科的知识。 云计算与大数据:包括云计算平台、大数据分析、人工智能、机器学习等,云计算是一种基于互联网的计算方式,通过这种方式,共享的软硬件资源和信息可以按需提供给计算机和其他设备。
项目实战-检测-实战Paddle戴口罩检测
01-08
这是这个系列的第四篇,其他几篇情况如下, ● 第一篇基于 OpenCV ->《极智项目 | 实战 OpenCV 戴口罩检测》; ● 第二篇基于 Pytorch ->《极智项目 | 实战 Pytorch 戴口罩检测》; ● 第三篇基于 Mxnet -> 《极智项目 | 实战 Mxnet 戴口罩检测》 也是承诺的提供 "基于 OpenCV、基于 pytorch、提供 tensorflow、基于 paddle、基于 caffe、基于 mxnet、基于 keras 版本" 系列中的其中之一,其他版本敬请期待。 这个项目使用国产深度学习框架 Paddle 来进行戴口罩的检测。项目提供完整的代码,包括推理代码、一键执行脚本、Paddle 模型权重、项目三方依赖库、待检测的图片、检测后的效果图等。从检测效果图可以看到效果还是不错的。 欢迎下载体验。
ngx_http_hls_module:Nginx HLS 模块,兼容直播和点播服务
07-02
ngx_http_hls_module Nginx HLS 模块,兼容直播和点播服务.
三方物流业务信息化解决方案样本.docx
12-14
三方物流业务信息化解决方案样本.docx
Android-Android三方库--TakePhoto
08-13
Android三方库--TakePhoto
C#版支持高并发的HTTP服务器源码
09-30
C#版支持高并发的HTTP服务器源码,异步处理并发调用,应用于WINFORM程序中,创建自己的HTTP SERVER的首选办法。
JMX Console 授权访问漏洞
懂进攻知防守
07-23 4523
Jboss的webUI界面http//ipport/jmx-console授权访问(或默认密码admin/admin),可导致JBoss的部署管理的信息泄露,攻击者也可以直接上传木马获取webshell。
s7-1500做服务器端与三方没备的tcp通信
08-25
S7-1500是西门子公司推出的一种可编程控制器(PLC),它可以作为服务器端与第三方设备进行TCP通信。使用S7-1500作为服务器端时,我们可以通过配置其以太网接口参数、创建TCP通信模块和相关数据块等方式来实现与第三方设备的通信。 首先,我们需要在S7-1500上配置以太网接口的参数,包括IP地址、子网掩码、网关以及必要的DNS服务器。这些参数将用于连接与通信设置。 接下来,我们需要在S7-1500上创建TCP通信模块。通信模块是S7-1500的一部分,可以帮助我们建立和维护与第三方设备之间的TCP连接。我们可以通过PLC配置软件来创建通信模块,配置它的通信参数,例如远程主机IP地址和端口号。 之后,我们需要在S7-1500上创建相关的数据块来传输数据。数据块是用于存储和传输通信数据的一种数据结构。我们可以通过PLC配置软件来创建数据块,并确定其中包含的数据类型和长度。 最后,在S7-1500上编写PLC程序来处理与第三方设备之间的通信。我们可以使用PLC编程语言(如FBD或LAD)来编写我们的通信逻辑。在程序中,我们可以使用通信模块和数据块来发送和接收数据。 总的来说,S7-1500作为服务器端与第三方设备进行TCP通信需要进行以太网接口参数配置、通信模块创建、数据块设置和PLC程序编写等步骤。通过这些步骤,我们可以在S7-1500上实现与第三方设备之间的TCP通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Doubletree_lin

老板,爱你,么么哒

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值