SpiderFlow 源码中允许执行脚本,容易造成安全隐患

已于 2022-09-06 10:43:17 修改
阅读量1.4k 收藏 7
点赞数 3
分类专栏: 架构设计 文章标签: java servlet 开发语言
于 2022-09-02 10:15:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/recotone/article/details/126656864
版权

项目场景:

提示:SiderFlow在部署时发现了可疑后门

问题描述

提示:部署报错

原因分析:

提示:检查源码,发现可疑后门

 

 

 

解决方案:

提示:注释掉那段可疑代码

 友情提醒: 在使用开源软件的时候,一定要注意代码中是否含有可疑代码,黑客代码,后门漏洞,特别是挂在互联网上时,像spider-flow这种在项目中允许执行脚本的开源项目就更要注意了。

recotone
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
spider-flow:新一代爬虫平台,以图形化方式定义爬虫流程,不写代码即可完成爬虫
03-19
||| ||||| 介绍 平台以流程图的方式定义爬虫,是一个高度灵活可配置的爬虫平台 特性 支持Xpath / JsonPath / css选择器/正则提取/混搭提取 支持JSON / XML /二进制格式 支持多数据源,SQL select / selectInt / selectOne / insert / update / delete 支持爬取JS动态渲染(或ajax)的页面 支持代理 支持自动保存至数据库/文件 常用字符串,日期,文件,加解密等函数 支持插件扩展(自定义执行器,自定义方法) 任务监控,任务日志 支持HTTP接口 支持Cookie自动管理 支持自定义函数 插件 项目部分截图 爬虫列表 爬虫测试 除错 日志 其他开源项目 免责声明 请勿将spider-flow应用到任何可能违反法律规定和道德约束的工作,请友善使用spider-flow ,遵守蜘蛛协议,不要将spi
C# webbrowser控件执行js脚本源码
10-13
找了好久才找到的,不容易啊。呵呵 找了好久才找到的,不容易啊。呵呵 找了好久才找到的,不容易啊。呵呵 找了好久才找到的,不容易啊。呵呵 找了好久才找到的,不容易啊。呵呵
SpiderFlow爬虫平台漏洞利用分析(CVE-2024-0195)
蚁景网安学院
01-18 835
SpiderFlow爬虫平台项目,此漏洞构造恶意输入来执行任意的 JavaScript 代码,从而导致代码注入,并允许远程发起攻击,可导致服务器失陷。
[漏洞复现] SpiderFlow (CVE-2024-0195)
k5664524的博客
01-11 974
SpiderFlow是新一代开源爬虫平台,以图形化方式定义爬虫流程,不写代码即可完成爬虫。基于springboot+layui开发的前后端不分离,也可以进行二次开发,因此收到很多人的喜欢,在gitee上有7.4K Star。该系统/function/save接口存在RCE漏洞,攻击者可以构造恶意命令远控服务器
新一代开源爬虫平台:SpiderFlow
最新发布
2401_83063795的博客
05-21 1280
SpiderFlow:新一代爬虫平台,以图形化方式定义爬虫流程,不写代码即可完成爬虫。- 精选真开源,释放新价值。
【复现】Spider-Flow RCE漏洞(CVE-2024-0195)_16
fushuang333的博客
01-12 1050
【复现】Spider-Flow RCE漏洞(CVE-2024-0195),Spider Flow 是一个高度灵活可配置的爬虫平台,用户无需编写代码,以流程图的方式,即可实现爬虫。
CVE-2024-0195-SpiderFlow爬虫平台远程命令执行漏洞分析
shelter1234567的博客
01-18 2140
本次我们继续模拟漏洞发掘的思路。此次选择的项目是一个基于springboot的开源项目,该系统/function/save接口存在RCE漏洞。
浅研Spide-Flow
Aventador_L的博客
10-13 1929
浅研爬虫
Java爬虫【一篇文章精通系列-案例开发-巨细】HttpClient5 + jsoup + WebMagic + spider-flow【万字长文一篇文章学
程序员猫爪
11-28 994
网络爬虫 ( web crawler),是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本,在java的世界里,我们经常用HttpClient ,jsoup ,WebMagic 这几种技术来实现爬虫。
pppd 源码 与pppd使用脚本分析打包
12-30
在本文,我们将深入探讨pppd的源码结构、工作原理,以及如何结合使用脚本进行分析和打包。 首先,了解pppd的源码结构对于开发者来说至关重要。pppd的源代码通常包含多个组件,如主循环、协议处理模块、认证模块等...
spiderflow爬虫平台 v0.5.0
12-28
为您提供spiderflow爬虫平台下载,spiderflow是一个高度灵活可配置的爬虫平台。作为新一代爬虫平台,它以图形化方式定义爬虫流程,不写代码即可完成爬虫。特性:支持Xpath/JsonPath/css选择器/正则提取/混搭提取支持JSON/XML/二进制格式支持多数据源、SQL select/selectInt/selectOne/insert/update/delete支持爬取JS动态渲染(或ajax)的页面支持代理支持自动保
爬虫代码spider-flow-master
05-22
<p align="center"> <img src="https://www.spiderflow.org/images/logo.svg" width="600"> </p> <p align="center"> <a target="_blank" href="https://www.oracle.com/technetwork/java/javase/downloads/index.html"><img src="https://img.shields.io/badge/JDK-1.8+-green.svg" /></a> <a target="_blank" href="https://www.spiderflow.org"><img src="https://img.shields.io/badge/Docs-latest-blue.svg"/></a> <a target="_blank" href="https://github.com/ssssssss-team/spider-flow/releases"><img src="http
cocos2dx 3.2 2048游戏可执行源码
08-03
《cocos2dx 3.2 2048游戏可执行源码解析》 cocos2dx是一款基于C++的开源游戏开发框架,广泛应用于2D和3D游戏开发。此源码是针对cocos2dx 3.2版本,适配Visual Studio 2013环境的2048游戏实现,它提供了完整的可执行...
word2vec词向量训练及文文本相似度计算 【源码+语料】
02-18
该资源主要参考我的博客:word2vec词向量训练及文文本相似度计算 ...其包括C语言的Word2vec源代码(从官网下载),自定义爬取的三大百科(百度百科、互动百科、维基百科)文语料,涉及到国家、景区、动物和人物。...
SpiderFlow(图形化爬虫)
Harris-H的博客
01-03 6391
SpiderFlow(图形化爬虫) url https://github.com/ssssssss-team/spider-flow 官网 https://www.spiderflow.org 0.简介 spider-flow 是一个爬虫平台,以图形化方式定义爬虫流程,无需代码即可实现一个爬虫 特性 支持css选择器、正则提取 支持JSON/XML格式 支持Xpath/JsonPath提取 支持多数据源、SQL select/insert/update/delete 支持爬取JS动态渲染的页面 支持代理
爬虫开源项目:SpiderFlow
fang.lovest.yang的博客
12-29 2934
官网:spider-flow Java多模块项目 图形化定义爬虫过程 爬取数据可存入数据库 1.gie下载源码 git clonegit@gitee.com:ssssssss-team/spider-flow.git 2.运行源码 3.执行源码的mysql 建表语句 4.查看官网上提取网页数据的抽取函数等内容 编写流程化的爬虫过程 ...
spider-flow初步使用
热门推荐
qq_42640067的博客
10-05 1万+
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
network.sh 脚本在Android源码的位置
06-01
在Android源码,network.sh脚本通常位于以下路径: device/<vendor>/<device>/device.mk 其,<vendor>是设备制造商名称,<device>是具体的设备型号。在该路径下,可以定义一些设备特定的属性和配置,例如使用的驱动程序、网络接口名称、IP地址、网关、DNS服务器等。可以在该文件添加类似以下代码的内容来调用network.sh脚本: PRODUCT_COPY_FILES += device/<vendor>/<device>/network.sh:system/etc/init.d/network.sh 上述代码表示将device/<vendor>/<device>/目录下的network.sh文件复制到系统目录的/etc/init.d/目录下,并在系统启动时自动执行脚本。 需要注意的是,不同的设备制造商和设备型号可能有不同的路径和配置方式,因此需要根据具体的设备型号和厂商来查找network.sh脚本所在的位置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值