几个严重漏洞(高危)的原因分析和整改建议

已于 2024-03-19 16:23:29 修改
阅读量284 收藏 2
点赞数 4
文章标签: 安全 运维 java web安全 安全威胁分析
于 2024-03-19 16:17:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/runqu/article/details/136846138
版权
1  Spring boot actuator unauthoyized access

问题原因:网站 9000 端口运行 spring eureka 服务,访问端口可直接进入管理界面,泄露敏感信息,经验证,存在未授权访问。

整改内容: 禁用注册中心显示页面和禁用actuator端点, 后续调试中及时配置安全策略。

2  Elasticsearch unauthorized

问题原因:Elasticsearch的HTTP连接没有实现任何权限控制措施。一旦部署在公共网络上,Elasticsearch很容易发生数据泄露。

整改内容:设置安全密码,后续应用中及时配置安全策略。

3 Sqlcli unauthorized

问题原因:为项目需要于临时服务器调试开源工具,未设置用户授权访问等配置。

整改内容:停止相关服务及端口,后续应用中及时配置安全策略。

4 web页面可以通过http协议访问,存在用户名、密码明文传输风险。

问题原因:现有环境中虽然已经配置ssl证书,可以通过https访问,但原http配置仍然保留,故http协议访问依然成功,现已清除原http server访问配置,强制转换https登录。

整改内容:现有http 访问方式已强制转换https访问,避免了明文传输风险,目前未发现数据泄露情况。

5  Apache tomcat 示例目录泄露:Tomcat中间件的默认样例目录,可被恶意攻击者通过操纵session获取管理员权限

问题原因:项目使用开源工具Tomcat作为中间件部署网站,Tomcat不定期会产生漏洞需要定期升级,Tomcat各版本均包含servlets-examples 和 tomcat-docs 等默认样例目录。

整改内容:删除tomcat中间件webapps目录下面包含的servlets-examples 和 tomcat-docs 等默认项目。

6 其他

序号

漏洞名称

修复情况说明

1

XSS跨站脚本攻击

增加危险字符拦截

2

Js版本低

网站整体提升js版本

runqu
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
微软Exchange多个高危漏洞通告 .pdf
09-05
微软Exchange多个高危漏洞通告 网络信息安全 业务安全 安全测试 AI 渗透测试
出现高并发的几种问题
11-21 1725
希望对各位有所帮助 一个运营的系统在正式上线后将会遇到各种层级的高并发请求,因此我们必须对此做出相应的策略和技术解决方案,首先我们需要认清系统的高并发由3个层面导致: 1.传输层 大量用户对系统请求后,将会造成网络带宽和Web服务器的I/O瓶颈。 2.计算层 接收大量用户请求进行计算,将...
高并发下的漏洞(条件竞争)
zmzsg100的专栏
06-12 430
隔离性有4种,包括读未提交(Read uncommitted)、读提交(read committed)、可重复读(repeatable read)和串行化(Serializable)。2、数据库查询该码,如果查到库里有这个码并且码未被消费过,则走到第3步的逻辑里,否则返回code not useful。4、更新用户的余额,比如兑换的充值码为20元,用户money字段增加20。余额只有80,和预期的不太一样,但有一点是肯定的,一个码被兑换了多次。3、更新码的状态,更新消费该码的用户,
针对高并发系统的解决思路与方案
书写人生
04-14 731
总体上: 开涛大神在博客中说过:在开发高并发系统时有三把利器用来保护系统:缓存、降级和限流。 1.扩容 根据业务系统的类型,考虑不同的针对在数据库方面的扩容: 2.缓存(特别重要) 缓存设置的地方 手段 主要是Redis、CDN、浏览器等,其次可能一些问题 2.3可能存在的问题 2.3.1一致性 缓存一致性的话,主要可能考虑到以下几种可能导致一致性问题: ...
2024年网络安全最新几个严重漏洞(高危)的原因分析整改建议(1)
2401_84301352的博客
05-01 455
问题原因:为项目需要于临时服务器调试开源工具,未设置用户授权访问等配置。整改内容:停止相关服务及端口,后续应用中及时配置安全策略。
网络安全最全几个严重漏洞(高危)的原因分析整改建议(1),2024年最新贼厉害
2401_84297618的博客
05-14 585
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
网络安全最新几个严重漏洞(高危)的原因分析整改建议,35岁以上程序员求职没市场
2401_84240454的博客
05-10 453
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。问题原因:现有环境中虽然已经配置ssl证书,可以通过https访问,但原http配置仍然保留,故http协议访问依然成功,现已清除原http server访问配置,强制转换https登录。问题原因:网站 9000 端口运行 spring eureka 服务,访问端口可直接进入管理界面,泄露敏感信息,经验证,存在未授权访问。整改内容:现有http 访问方式已强制转换https访问,避免了明文传输风险,目前未发现数据泄露情况。
网络安全最全几个严重漏洞(高危)的原因分析整改建议,2024年最新分享网络安全资深架构师的成长之路
2401_84297796的博客
05-14 806
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
2024年最全几个严重漏洞(高危)的原因分析整改建议(2),2024年最新网络安全进程保活黑科技实现原理解密及方法
2401_84519718的博客
05-05 872
问题原因:为项目需要于临时服务器调试开源工具,未设置用户授权访问等配置。整改内容:停止相关服务及端口,后续应用中及时配置安全策略。
组件攻击链ThinkCMF高危漏洞分析与利用1
08-03
1.1 基本信息 1.2 版本介绍 1.3 使量及使分布 3.1 ThinkCMFX 2.x GetShell 3.2 ThinkCMF 5.x GetShel
TP-LINK路由器高危漏洞的防范解决方法
10-01
windows自带的防火墙能很好的帮我们防范TP-LINK路由器出现的高危漏洞,那么这里我就用图文并茂的方式教大家如何开启windows防火墙
2023年攻防演练利器之必修高危漏洞合集(包含详细修复建议
08-03
重磅发布的《攻防演练利器之必修高危漏洞合集》,结合自身“外部攻击面管理”服务能力和专业的红队能力,以资产覆盖率、漏洞影响面、漏洞自动化利用指标为重点衡量指标,梳理了历史高危漏洞和近期爆发的漏洞,并包含...
SolarWinds 多个高危漏洞通告 .pdf
09-05
SolarWinds 多个高危漏洞通告 业务安全 安全开发 自动化 云安全 安全测试
几个严重漏洞(高危)的原因分析整改建议,网络安全社招面经分享
m0_60707606的博客
04-06 757
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
[图解]SysML和EA建模住宅安全系统-05
rolt的专栏
05-18 654
作用就是定义属性之间的数学关系
防静电劳保鞋:工业安全中的隐形守护者
YOUSUTO的博客
05-16 431
因此,防静电措施在工业安全中显得尤为重要。在众多防静电措施中,防静电劳保鞋作为工作人员脚下的隐形守护者,发挥着不可替代的作用。防静电劳保鞋作为工业安全中的隐形守护者,在防止静电危害方面发挥着重要作用。在工业生产中,我们应该充分认识到防静电措施的重要性,并合理选择和使用防静电劳保鞋等防护用品。在电子制造、石油化工、物流运输等行业中,静电可能导致设备损坏、产品性能下降,甚至引发火灾或爆炸。而防静电劳保鞋作为工作人员日常穿着的防护用品,能够在人员走动、操作设备时,有效消除人体静电积聚,减少静电带来的潜在风险。
红队攻防渗透技术实战流程:云安全之云服务安全:ECS和RDS
最新发布
HACKONE的博客
05-18 21
实例元数据(metadata)包含了弹性计算云服务器实例在阿里云系统中的信息,您可以在运行中的实例内方便地查看实例元数据,并基于实例元数据配置或管理实例。细节方面可通过访问官网找元数据访问触发说明,阿里云例子:https://help.aliyun.com/zh/ecs/user-guide/manage-instance-metadata。腾讯云元数据地址:http://metadata.tencentyun.com/CF 云渗透框架项目:https://wiki.teamssix.com/CF/
mysql5.7的高危漏洞修复
05-17
如果您使用的是 MySQL 5.7 版本,那么您需要关注以下几个高危漏洞: 1. CVE-2020-14883:这是一个远程代码执行漏洞,攻击者可以通过发送特制的HTTP请求来在MySQL服务器上执行任意代码。这个漏洞影响到MySQL 5.7.31版本以前的所有版本。修复方法是升级到MySQL 5.7.31版本或更高版本。 2. CVE-2020-14577:这是一个安全性问题,攻击者可以通过向MySQL服务器发送恶意请求来绕过访问控制。这个漏洞影响到MySQL 5.7.30版本以前的所有版本。修复方法是升级到MySQL 5.7.30版本或更高版本。 3. CVE-2020-14586:这是一个安全性问题,攻击者可以通过向MySQL服务器发送恶意请求来绕过访问控制。这个漏洞影响到MySQL 5.7.30版本以前的所有版本。修复方法是升级到MySQL 5.7.30版本或更高版本。 如果您的MySQL版本受到上述漏洞的影响,建议您尽快升级到最新版本,以保证系统的安全性。同时,您也可以考虑限制MySQL服务的网络访问,以减少攻击面。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

runqu

你的鼓励是我创作的最大动力~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值