Kaptcha安全漏洞CVE-2018-18531解决方案

最新推荐文章于 2024-04-08 10:03:59 发布
最新推荐文章于 2024-04-08 10:03:59 发布
阅读量7.7k 收藏 6
点赞数 3
分类专栏: 问题解决方案 文章标签: 安全 java jar
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42859690/article/details/122679836
版权

项目登陆验证码采用kaptcha做的,但是在安全漏洞筛查时发现使用的kaptcha-2.3.2版本有CVE-2018-18531漏洞,详情见国家信息安全漏洞库:http://www.cnnvd.org.cn/
在这里插入图片描述
距写此篇文章时,关注了下谷歌方面,尚未有官方发布的解决版本。
在这里插入图片描述
临时更换验证码依赖,代码方面要改一次,测试又要来一次,时间成本巨大。
故根据漏洞信息,准备去github上down下源码,修复漏洞再重新打成jar包引入即可。

按照漏洞信息,将text/impl/DefaultTextCreator.java、text/impl/ChineseTextProducer.java和text/impl/FiveLetterFirstNameTextCreator.java三个文件中的

//漏洞代码
Random rand = new Random();
//===>修改为
Random rand = new SecureRandom();

如果觉得有必要,可以在build.gradle文件中修改对应版本号用于区分
在这里插入图片描述
修改完成后,因kaptcha不是maven而是gradle项目;打包方式大同小异,同样采用jar
在这里插入图片描述
打包完成后,在项目下build目录内
在这里插入图片描述
原项目中,依赖需加上scope参数和systemPath参数;其中${basedir}为引用kaptcha的项目目录,如:

<dependency>
    <groupId>com.github.penggle</groupId>
    <artifactId>kaptcha</artifactId>
    <version>2.3.2.1</version>
    <scope>system</scope>
    <systemPath>${basedir}/lib/kaptcha-2.3.2.1.jar</systemPath>
</dependency>

打包插件上需加上includeSystemScope参数,表示打包时需要打入外部依赖的jar包,如:

<plugin>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-maven-plugin</artifactId>
    <configuration>
        <includeSystemScope>true</includeSystemScope>
    </configuration>
</plugin>

诸事完毕,package~~~,然后target目录下找到项目jar包,打开差看BOOT-INF\lib
在这里插入图片描述
修改后的kaptcha-2.3.2.1.jar已成功打入项目,迫不及待部署服务,运行成功!!!nice~

————————————————我是一条剧情分割线————————————————

看到剧情分割线,就知道事情不简单
果然服务虽然运行成功,然鹅,验证码却加载不出来,查看服务日志,发现报错信息如下:

org.springframework.web.util.NestedServletException: 
Handler dispatch failed; nested exception is java.lang.NoClassDefFoundError:
 com/jhlabs/image/ShadowFilter

喵喵喵???
细细查看,才发现,kaptcha中有依赖jar
在这里插入图片描述
junit-4.12.jar和hamcrest-core-1.3.jar都是搞测试用的,就不需要了
javax.servlet-api-3.1.0.jar 项目一般是springboot,也不需要再引入
所以只需要在pom中补充:

<dependency>
    <groupId>com.jhlabs</groupId>
    <artifactId>filters</artifactId>
    <version>2.0.235-1</version>
</dependency>

找到了问题,打包部署验证一气呵成。
剧终,完美~

入门小呆萌
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
引用的三方组件已经升级到最新版本,仍然提醒存在安全风险,如何快速解决—— kaptcha 安全漏洞
OSCS开源安全社区
08-24 1520
kaptcha 是个图形验证码的库,使用该组件的人数也非常多,搜 “spring 验证码”,前几篇文章里面就有人在教如何使用这个组件(2022年的文章),国内 star 比较多的项目同样也在用。该组件风险程度较高,CVSS 评分达9.8,建议使用该组件的项目及研发小伙伴尽快修复该组件。 在找解决方案的时候发现,官方没有发布修复后的版本,最新版本就是2.3.2。近期有很多小伙伴问了个相同的问题:引用的组件已经是最新版本了,检测还是有漏洞,这样的只能换依赖了吗...2、搜索相关漏洞的解决方案​​​​​​​。
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
通过升级openssh到OpenSSH8.4 修复openssh低版本的漏洞 openssh8.4需要的 openssl-1.1.1g, openssh-8.4p1,zlib-1.2.11
JavaMelody组件XXE漏洞(CVE-2018-15531)漏洞分析报告
dbhri9673的博客
07-28 792
0x001 背景 JavaMelody是一款运行在Java Web容器中,用来监控Java内存和服务器CPU使用情况的工具,可以通过图表给出监控数据,方便研发运维等找出响应瓶颈、优化响应等。 该组件低版本存在一个XXE漏洞——CVE-2018-15531,由于该组件的启动特性,攻击者无需特定的权限即可发起攻击。 0x002 实验环境 首先需要安装JavaMe...
ruoyi验证码kaptcha包高危漏洞
最新发布
weixin_44399264的博客
04-08 422
客户现场扫描除了kaptcha生成验证码的高危漏洞,又不想引入其他生成验证码包避免上线麻烦,又要安全检查等扫描,那就最好手撸验证码出来。
maven安装依赖失败的问题:Kaptcha
m0_46198325的博客
06-14 1122
首先我的原意是想从maven仓库中下载一个Kaptcha玩玩,然后去搜索了一些,发现前面最多人使用的验证码居然有依赖漏洞,然后又重新查找了,结果找到一个谷歌出品的验证码框架,但是人家牛逼大气,没有上传到maven的中央仓库,所有通过常规的pom文件导入依赖下载是无法使用的: 代码下载网站 pom文件引用 <!-- https://mvnrepository.com/artifact/com.google.code.kaptcha/kaptcha --> <dependency>
Insecure CAPTCHA漏洞利用以及防御
CH3UHX9
02-28 711
漏洞介绍 CAPTCHA项目是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称,是一种区分用户是计算机和人的公共全自动程序。 使用CAPTCHA可以防止计算机恶意破解密码、刷单等,保证用户是人类(无法快速反复发送请求)。 攻击者绕过CAPTCHA验证后,可以使用恶意脚本操控计算机反复发送请求或者在异地实现绕过验证的CSRF攻击。 漏洞原理 CAPTCHA漏洞利
Kaptcha验证码半透明背景的实现
weixin_45335489的博客
06-29 5628
Kaptcha验证码半透明背景的实现Kaptchakaptcha选项没有背景透明? Kaptcha库 验证码是有效防止机器尝试的重要手段,Kaptcha是常用的一个库,从其声明看,可能来自google,但因为种种原因,目前依赖更多的是com.gitpuh.penggle.kaptcha,版本为2.3.2,POM中依赖代码 <dependency> <groupId&gt...
解决com.github.penggle kaptcha 2.3.2 报错
franktangfan的博客
02-08 2123
出现以上结果,表示com.github.penggle的jar包安装成功,此时,有可能你的工程pom.xml中依然是红色,原因是你下载后的jar包位置与你工程中的maven的本地仓库repository不同,所以需要修改,如上图,化红线处表示jar包安装的位置,可以到该路径下把你的依赖复制到你的本地仓库地址,就可以解决com.github.penggle kaptcha 2.3.2 报错的问题了。
SpringBoot整合kaptcha(谷歌验证码工具)实现验证码功能
小万是个程序员
06-16 1057
SpringBoot整合kaptcha(谷歌验证码工具)实现验证码功能
OpenSSH 用户名枚举漏洞(CVE-2018-15473).zip
03-06
OpenSSH 7.7及之前版本中存在用户枚举漏洞,该漏洞源于程序会对有效的和无效的用户身份验证请求发出不同的响应。 学习笔记
kaptcha开源验证码
03-24
实例 博文链接:https://xdjava.iteye.com/blog/1113751
kaptcha-2.3.2-google验证码插件
01-08
Google验证码插件jar包,直接解压存入本地仓库即可使用
CVE-2018-18778.docx
07-23
CVE-2018-18778 ,mini_httpd任意文件读取漏洞,
weblogic10.36 CVE-2018-2893补丁文件
08-02
WebLogic(CVE-2018-2893)安全漏洞预警,oracle官方发布了2018年4月份的关键补丁更新CPU(CriticalPatchUpdate),其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628),因该漏洞修补不善导致被绕过。...
已解决 google kaptcha-2.3.2.jar验证码工具包的使用
Kurapika47的博客
02-18 3186
最近写项目用到验证码了,想方便用下这个。 然后pom.xml一直无法导入进去。 exm?? 最后找了找资源成功了,感谢那位免费的兄弟。 本来报红叉呢。 下载jar到 本地后 +解压后 建个文件夹 kaptcha-2.3.2 然后执行: mvn install:install-file -Dfile=./kaptcha-2.3.2.jar -DgroupId=com.google....
kaptcha随机验证码的使用详解,超实用
Gavid0124的专栏
01-17 3272
效果图: 官方地址:https://code.google.com/p/kaptcha/w/list 1、把下载的kaptcha-2.3.2.jar添加到lib中 2、配置web.xml增加servlet 1 2 3 4 5 6 7 8         Kaptcha         
OpenSSH 安全漏洞(CVE-2018-15473)
08-04
OpenSSH 安全漏洞(CVE-2018-15473)是一个影响OpenSSH版本小于7.7的漏洞。要复现这个漏洞,可以按照以下步骤进行操作: 1. 首先,需要搭建漏洞环境。可以使用vulhub提供的Docker镜像来搭建环境。具体的操作命令如下: ``` cd vulhub/openssh/CVE-2018-15473 docker-compose build docker-compose up -d ``` 2. 接下来,需要替换密钥文件。首先备份原有的密钥文件,可以使用以下命令进行备份: ``` cp -r /usr/local/openssh/etc /usr/local/openssh/etc.bak ``` 然后,将旧版SSH密钥文件替换为新的密钥文件,可以使用以下命令进行替换: ``` cp /etc/ssh/ssh_host_* /usr/local/openssh/etc ``` 3. 如果旧版本是通过源码安装的OpenSSH,建议备份整个openssh目录。可以使用以下命令进行备份: ``` mv /usr/local/openssh /usr/local/openssh.old ``` 这样就完成了OpenSSH安全漏洞(CVE-2018-15473)的复现。[1][2][3]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值