jeecms明文密码传输漏洞

最新推荐文章于 2024-07-19 14:11:18 发布
最新推荐文章于 2024-07-19 14:11:18 发布
阅读量2.1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36397267/article/details/80537991
版权
关于jeecms明文密码传输漏洞修改:
思路:由于jeecms密码加密采用md532位加密算法,是不可逆过程,数据库存放的是加密后的密码,登陆认证是将前台传入的密码加密后和数据库进行对比,所以往后台提交密码为加密后的密码的话,势必数据库密码也要加密一次,然后做对比就可以了。
前台修改:
//密码框密码进行加密
function passwordMd5(){
    var x=document.getElementById("password").value;
    var y=hex_md5(x);
    document.getElementById("password").value = y;
}
document.οnkeydοwn=function(event){
        var e = event||window.event||arguments.callee.caller.arguments[0];
        if(e){
            if(e.keyCode==13){
                passwordMd5();
            }
        }

    }
//用onblur触前台加密函数
<td><input name="password" type="password" id="password" maxlength="32" vld="{required:true}" οnblur="passwordMd5()" class="input"/></td>
  后台修改  
    //md5加密工具类
    // MD5加码。32位   
    public static String MD5(String inStr) {   
        MessageDigest md5 = null;   
        try {   
            md5 = MessageDigest.getInstance("MD5");   
        } catch (Exception e) {   
            System.out.println(e.toString());   
            e.printStackTrace();   
            return "";   
        }   
        char[] charArray = inStr.toCharArray();   
        byte[] byteArray = new byte[charArray.length];   
        for (int i = 0; i < charArray.length; i++)   
            byteArray[i] = (byte) charArray[i];   
        byte[] md5Bytes = md5.digest(byteArray);   
        StringBuffer hexValue = new StringBuffer();   
        for (int i = 0; i < md5Bytes.length; i++) {   
            int val = ((int) md5Bytes[i]) & 0xff;   
            if (val < 16)   
                hexValue.append("0");   
            hexValue.append(Integer.toHexString(val));   
        }   
        return hexValue.toString();   
    }
    //登陆认证是加密数据库传出的密码
    /**
    * 登录认证
    */
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken authcToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
        CmsUser user = cmsUserMng.findByUsername(token.getUsername());
        if (user != null) {
            UnifiedUser unifiedUser = unifiedUserMng.findById(user.getId());
            String pass=PasswordMd5.MD5(unifiedUser.getPassword());
            return new SimpleAuthenticationInfo(user.getUsername(),pass, getName());
        } else {
            return null;
        }
    }
磕磕唠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JEEWMS 任意文件读取漏洞
weixin_43567873的博客
03-29 91
JEEWMS 任意文件读取漏洞
Jeecms弱口令和shiro反序列化RCE渗透测试记录
kelenwait的博客
07-03 9423
简介 Jeecms 是一个开源企业客户关系管理快速开发基础平台,Java企业应用开源框架,Java EE(J2EE)快速开发框架,使用经典技术组合(Spring、Spring MVC、Apache Shiro、hibernate4、EasyUI、Jqgrid、Bootstrap UI),核心模块如:组织机构、角色用户、权限授权、数据权限、内容管理、工作流等功能。 在企业官网、新闻站点、OA资源管理等多个领域都有应用。 由于使用的Apache Shiro 是低版本的,存在shiro反序列漏洞漏洞影响 弱口
JEECMS后台任意文件编辑漏洞及拿shell
收集盒 Book box
07-11 5221
JEECMS是基于java技术开发,继承其强大、稳定、安全、高效、跨平台等多方面的优点 · 采用SpringMVC3+Spring3+Hibernate3+Freemarker主流技术架构 安全性做得非常变态,当网站安装完成后就不再允许执行任何目录下的jsp文件了(web.xml配置了过滤器禁止了很多种动态脚本)。     2.x后台: login/Jeecms.do 3.x
解决系统明文传输的问题(亲测有效)
最新发布
tlovet_1314的博客
07-19 703
解决明文传输问题
网站漏洞怎么修复代码漏洞
A_991128a的博客
11-30 1146
jeecms 最近被爆出高危网站漏洞,可以导致网站被上传webshell木马文件,受影响的版本是jeecms V6.0版本到jeecmsV7.0版本。该网站系统采用的是JAVA语言开发,使用的是oracle,mysql,sql数据库,系统支持windows2008,windows2012,以及linux centos系统。
jeecmsv8 shiro 分析
chenbo19867758的专栏
09-17 272
/jeeadmin/jeecms/login.do 1.后台登录页面,点击登录提交路径
JEEVMS仓库管理系统任意文件读取漏洞
qq_36334672的博客
03-12 400
JEEVMS仓库管理系统任意文件读取漏洞
jeecms万能验证码
12-09
jeecms安装完毕后,找到项目对应的目录,把三个文件进行替换,就可以在注册、登录、留言时免验证码。登录密码错误三次后显示验证码,输入任意数如123就行。注明:jeecms9.2版本已验证通过。
jeecms-2012.zip
04-14
Jeecms-2012:深入了解企业级内容管理系统》 Jeecms-2012是一款在2012年推出的基于Java技术的企业级内容管理系统(Content Management System,CMS)。这款系统以其高效、易用和强大的功能,赢得了广泛的赞誉和...
JEECMS源代码
03-18
作为国内最知名的Java开源CMS系统,我们一直秉承开源、易用、高性能、安全的系统开发原则,并以作国内优秀的开源网站管理系统为己任,始终坚持不懈地为用户提供强大的Java技术web应用服务。 JEECMSv2.4.2正式版新增...
jeecms微信小程序 v1.0.1
12-02
例如,确保用户数据的加密传输,优化页面加载速度,以及遵守微信对于小程序内容和推广的政策规定。 综上所述,Jeecms微信小程序v1.0.1是一个结合了强大内容管理系统的微信小程序解决方案,对于希望在微信平台上快速...
jeecms v8.1 正式版 安装包
01-02
Jeecms V8.1 正式版安装包】是一个专门为构建大型门户网站群而设计的CMS(内容管理系统)解决方案。这款系统的核心功能是支持基于行政级别的网站群建设,允许用户构建从中央到地方各级别的官方网站,实现信息的...
JAVA开源CMS JEECMS v3.0
08-09
一、安装运行环境(JDK5+TOMCAT5.5+MYSQL5及以上,具体安装过程请参考本下载包中的相关说明文档); 二、将程序解压后的ROOT文件夹拷贝到tomcat安装目录下的webapps文件夹下(例如:D:\Tomcat6\webapps\),启动tomcat,在地址栏上输入http://localhost:8080(端口和部署路径视安装设置而定),请根据安装向导填写安装信息,安装完成后重启tomcat; 三、在浏览器的地址栏中输入http://localhost:8080,若系统正常显示网站首页则表示本系统顺利安装完成。 附: 系统管理后台登录:http://localhost:8080/jeeadmin/jeecms/index.do 用户名:admin 密 码:password ===================================================== 感谢您使用JEECMS,系统使用过程中如遇到问题,请到JEECMS的官方网站http://www.jeecms.com 查看相关资料,或者加入JEECMS官方论坛(http://bbs.jeecms.com)发帖和大家一起交流,我们的技术人员和众多会员一起与您交流解答。 JEECMS全站源代码下载地址:http://www.jeecms.com/download/index.htm JEECMS演示地址:http://www.nc138.com
jeecms升级shiro漏洞报错处理
l_degege的专栏
06-11 1104
一、问题描述 jeecmsv9中的shiro是1.4.0,存在漏洞,现在升级到1.6.0 1替换lib文件夹下的13个shiro包 2将cipherKey改成动态生成 https://blog.csdn.net/jlq_diligence/article/details/109790614 添加类、修改shiro-context.xml 3重启部署后报错 二、操作 应该缺少类org.owasp.encoder.Encode。 将encoder-1.2.2.jar放到lib下项目启动成功 https://
【原创】JEECMS v6~v7任意文件上传漏洞(1)
weixin_34160277的博客
01-19 1837
文章作者:rebeyond 受影响版本:v6~v7 漏洞说明: JEECMS是国内Java版开源网站内容管理系统(java cms、jsp cms)的简称。该系统基于java技术开发,继承其强大、稳定、安全、高效、跨平台等多方面的优点;采用SpringMVC3+Spring3+Hibernate3+Freemarker主流技术架构。广泛应用于政府(部委和省级政府部门、市、县、乡及委办局)、教...
JeeCMS安装与配置指南
"Jeecms第三方文档主要涵盖了Jeecms的内容管理系统源码阅读、安装流程、Jcaptcha自定义验证码的实现、XML配置、Spring事务管理、Struts2与Spring之间的URL跳转、后台登录功能、Jcaptcha验证码示例、Hibernate拦截器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值