针对网上nbcio-boot代码审计的actuator方法的未授权访问漏洞和ScriptEngine的注入漏洞的补救

于 2024-09-13 08:01:24 发布
阅读量155 收藏
点赞数 3
分类专栏: flowable nbcio-boot java开发 文章标签: nbcio-boot jeecgboot java开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40032778/article/details/142138378
版权
flowable 同时被 3 个专栏收录
236 篇文章 8 订阅 ¥19.90 ¥99.00
订阅专栏 超级会员免费看
java开发
196 篇文章 17 订阅
订阅专栏
nbcio-boot
90 篇文章 4 订阅
订阅专栏

针对网上下面文章的漏洞补救

奇安信攻防社区-代码审计之nbcio-boot从信息泄露到Getshell

一、未授权分析

在ShiroConfig中放开了actuator方法的未授权访问
org/jeecg/config/shiro/ShiroConfig.java:156

上面问题,先注释掉上面的未授权访问,实际就是代码注释掉

二、、RCE分析

此处代码调用了ScriptEngine的eval方法,此方法若不做特殊处理易引起代码注入问题,这里不做过多解释。
com/nbcio/modules/estar/bs/service/impl/DataSetParamServiceImpl.java:99

1、针对上面情况,Da

了解本专栏 订阅专栏 解锁全文 超级会员免费看
宁波阿成
关注
专栏目录
订阅专栏
Java】使用ScriptEngine动态执行代码(附Java几种动态执行代码比较)
技术杂谈
12-10 2万+
引言 在Java项目中,或多或少我们有动态执行代码的需求,比如: 系统中有一个规则验证需求,但规则经常改变 代码热更新,热修复 笔者也在目前参与的一个项目中遇到了动态执行代码的需求:项目需要一个自动审核模块,但是审核规则根据相关书面文件制定,如果写死在.java文件里,那么当新的书面文件下发时,就要系统停机更新系统,然后才能继续使用,其中存在着很多不稳定因素,也很麻烦。因此在设计上就有动态执行...
Spring Boot应用集成Actuator端点自定义Filter解决授权访问漏洞
Coder-文小白的博客
02-19 2219
我们知道想要实时监控我们的应用程序的运行状态,比如实时显示一些指标数据,观察每时每刻访问的流量,或者是我们数据库的访问状态等等,需要使用到Actuator组件,但是Actuator有一个访问授权问题,简单说就是其他人可以通过Actuator组件暴露的URL进行端点信息访问,甚至shutdown应用。那么我们有没有什么解决方法呢?endpoints:web:exposure:whiteUrl: # 白名单,配置白名单的URL请求时不需要验证,多个可以用英文逗号分隔。
Spring Boot后端: Actuator授权访问漏洞解决
qq_46119575的博客
01-05 1万+
Spring Boot后端: Actuator授权访问漏洞解决
Spring Boot Actuator授权访问漏洞和Apache Druid 漏洞修复
songshao の blog
06-24 1万+
Spring Boot Actuator授权访问漏洞 详细描述 ​ Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息。 解决办法 1.配置认证 在项目的pom.xml文件下引入spring-boot-starter-security依赖
SpringBoot Actuator授权访问漏洞的解决方法
MichaelZ的博客
05-08 3469
Spring Boot Actuator 是一个用于监控和管理 Spring Boot 应用程序的功能模块。它提供了一系列生产就绪的功能,帮助你了解应用程序的运行状况,以及在运行时对应用程序进行调整。Actuator 使用了 Spring MVC 来暴露各种 HTTP 或 JMX 端点,通过这些端点你可以获取到应用程序的运行信息,如健康状态、指标、线程 dump、环境变量等。健康检查:可以检查应用程序的运行状况,包括数据库连接、磁盘空间、服务状态等。指标收集。
Spring Boot Actuator授权访问漏洞利用
热门推荐
Bird&Bird
08-24 5万+
目录一、前言二、端点描述三、漏洞发现四、漏洞利用五、安全措施六、安全建议 一、前言 Actuator 是 Spring Boot 提供的服务监控和管理中间件。当 Spring Boot 应用程序运行时,它会自动将多个端点注册到路由进程中。而由于对这些端点的错误配置,就有可能导致一些系统信息泄露、XXE、甚至是 RCE 等安全问题。 二、端点描述 官方文档对每个端点的功能进行了描述。 路径 描述 /autoconfig 提供了一份自动配置报告,记录哪些自动配置条件通过了,哪些没通过 /be
Springboot Actuator授权访问漏洞复现
crowsec
07-31 1万+
SpringBootActuator模块提供了生产级别的功能,比如健康检查,审计,指标收集,HTTP跟踪等,帮助监控和管理SpringBoot应用。这个模块是一个采集应用内部信息暴露给外部的模块,上述的功能都可以通过HTTP和JMX访问。https)Actuator是SpringBoot提供的应用系统监控的开源框架。https)httpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttps。...
记一次代码审计nbcio-boot从信息泄露到Getshell
persist213的博客
09-04 1535
NBCIO 亿事达企业管理平台后端代码,基于jeecgboot3.0和flowable6.7.2,初步完成了集流程设计、流程管理、流程执行、任务办理、流程监控于一体的开源工作流开发平台,同时增加了聊天功能、大屏设计器、网盘功能和项目管理。项目地址:https://gitee.com/nbacheng/nbcio-boot
spring-boot-actuator-autoconfigure-2.3.12.RELEASE-文档-中英对照版.zip
07-13
赠送源代码:spring-boot-actuator-autoconfigure-2.3.12.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-boot-actuator-autoconfigure-2.3.12.RELEASE.pom; 包含翻译后的API文档:spring-boot-actuator-...
spring-boot-starter-actuator-2.1.3.RELEASE.jar
02-27
java运行依赖jar包
spring-boot-actuator-autoconfigure-2.3.12.RELEASE-API文档-中文版.zip
07-13
赠送源代码:spring-boot-actuator-autoconfigure-2.3.12.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-boot-actuator-autoconfigure-2.3.12.RELEASE.pom; 包含翻译后的API文档:spring-boot-actuator-...
spring-boot-starter-actuator-1.5.4.RELEASE.jar
02-21
spring-boot-starter-actuator-1.5.4.RELEASE.jar
Hadoop,ActiveMQ,RabbitMQ,Springboot Actuator授权访问漏洞(附带修复方法
C233333235的博客
08-09 2095
Hadoop是⼀个由Apache基⾦会所开发的分布式系统基础架构,由于服务器直接在开放了Hadoop 机器 HDFS 的 50070 web 端⼝及部分默认服务端⼝,⿊客可以通过命令⾏操作多个⽬录下的数据,如进⾏删除,下载,⽬录浏览甚⾄命令执⾏等操作,产⽣极⼤的危害。在 Actuator 启⽤的情况下,如果没有做好相关权限控制,⾮法⽤户可通过访问默认的执⾏器端点(endpoints)来获取应⽤系统中的监控信息,从⽽导致信息泄露甚⾄服务器被接管的事件发⽣。默认情况下,ActiveMQ服务是没有配置安全参数。
C# WinForms YOLOv11-ONNX实例分割模型部署(包含详细的完整的程序和数据)
10-14
内容概要:本文档详细介绍了使用C# WinForms构建并部署基于YOLOv11模型的对象实例分割系统的全流程,涵盖图像数据增强与预处理技术,演示了置信度及IOU阀值调节等功能的具体实现。 适用人群:面向有一定C#编程基础并且对于机器学习模型感兴趣的技术人士。 使用场景及目标:本应用特别适合作为对象检测和分类的实际案例教程来加深对于视觉感知的理解,并能够利用所提供的样例代码自行构建相似的实例分割系统。 其他说明:后续可以探索的方向包含了数据增广、参数微调,以及为了适应移动端应用的重新构想。
API接口详解与使用方法
10-14
本文档详细介绍了多个与http://api.dady8866.com/相关的API接口的功能、请求方式以及具体使用方法。内容包括但不限于登陆验证接口,获取账户余额接口,获取、释放和拉黑手机号码等相关接口的操作指南,并针对每项操作都给出了一次请求和相应结果的数据实例演示,确保用户可以快速理解和正确使用。 本资源适用于有API对接需求的研发人员和技术支持团队,尤其适用于希望通过自动化手段提升工作效率的相关人员。 使用场景涵盖系统自动登录、账户余额查询和动态号码管理等方面的工作流程优化,在使用时需特别关注接口间的依赖关系,注意频率限制避免被封号的风险。 需要注意的是由于各功能点之间的强关联性,使用者需要熟悉整个流程并在实际操作之前做好充分的测试以保证业务顺利进行.
Pycluster-1.59-cp38-cp38-win_amd64.whl
10-14
Pycluster-1.59-cp38-cp38-win_amd64.whl
nx二次开发.docx
最新发布
10-14
NX(以前称为Unigraphics,简称UG)是一款功能强大的CAD/CAM/CAE软件,广泛应用于航空航天、汽车、电子、机械等行业的设计与制造。NX的二次开发是指通过编程语言和NX提供的API(Application Programming Interface)来扩展或定制NX的功能,以满足特定的业务需求。以下是对NX二次开发的详细介绍: 一、NX二次开发的基本概念 NX二次开发的目标是通过编程来自动化NX中的常见任务,提高工作效率,减少重复劳动。NX提供了丰富的API,支持多种编程语言,如C++、VB.NET、C#、Java等。通过这些API,开发者可以访问NX的内部数据结构、操作模型、生成报告等。 二、NX二次开发的常用工具 NX Open:是NX提供的主要二次开发工具,它包含了大量的函数和类库,可以访问和操作NX中的各种模型和数据。 UG/Open API:是Siemens提供的一套用于NX二次开发的接口,通过它,开发者可以利用C++或者Java等编程语言来扩展NX的功能。 UI Styler:用于创建自定义的用户界面,开发者可以通过它设计符合自己需求的界面元素。 三、N
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

宁波阿成

你的支持,是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值