项目登陆验证码采用kaptcha做的,但是在安全漏洞筛查时发现使用的kaptcha-2.3.2版本有CVE-2018-18531漏洞,详情见国家信息安全漏洞库:http://www.cnnvd.org.cn/
距写此篇文章时,关注了下谷歌方面,尚未有官方发布的解决版本。
临时更换验证码依赖,代码方面要改一次,测试又要来一次,时间成本巨大。
故根据漏洞信息,准备去github上down下源码,修复漏洞再重新打成jar包引入即可。
按照漏洞信息,将text/impl/DefaultTextCreator.java、text/impl/ChineseTextProducer.java和text/impl/FiveLetterFirstNameTextCreator.java三个文件中的
//漏洞代码
Random rand = new Random();
//===>修改为
Random rand = new SecureRandom();
如果觉得有必要,可以在build.gradle文件中修改对应版本号用于区分
修改完成后,因kaptcha不是maven而是gradle项目;打包方式大同小异,同样采用jar
打包完成后,在项目下build目录内
原项目中,依赖需加上scope参数和systemPath参数;其中${basedir}为引用kaptcha的项目目录,如:
<dependency>
<groupId>com.github.penggle</groupId>
<artifactId>kaptcha</artifactId>
<version>2.3.2.1</version>
<scope>system</scope>
<systemPath>${basedir}/lib/kaptcha-2.3.2.1.jar</systemPath>
</dependency>
打包插件上需加上includeSystemScope参数,表示打包时需要打入外部依赖的jar包,如:
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
<configuration>
<includeSystemScope>true</includeSystemScope>
</configuration>
</plugin>
诸事完毕,package~~~,然后target目录下找到项目jar包,打开差看BOOT-INF\lib
修改后的kaptcha-2.3.2.1.jar已成功打入项目,迫不及待部署服务,运行成功!!!nice~
————————————————我是一条剧情分割线————————————————
看到剧情分割线,就知道事情不简单
果然服务虽然运行成功,然鹅,验证码却加载不出来,查看服务日志,发现报错信息如下:
org.springframework.web.util.NestedServletException:
Handler dispatch failed; nested exception is java.lang.NoClassDefFoundError:
com/jhlabs/image/ShadowFilter
喵喵喵???
细细查看,才发现,kaptcha中有依赖jar
junit-4.12.jar和hamcrest-core-1.3.jar都是搞测试用的,就不需要了
javax.servlet-api-3.1.0.jar 项目一般是springboot,也不需要再引入
所以只需要在pom中补充:
<dependency>
<groupId>com.jhlabs</groupId>
<artifactId>filters</artifactId>
<version>2.0.235-1</version>
</dependency>
找到了问题,打包部署验证一气呵成。
剧终,完美~