【工作记录】绿盟漏洞处理方案记录@20240905

于 2024-09-05 14:29:40 发布
阅读量415 收藏 5
点赞数 12
分类专栏: 其他 问题记录 文章标签: spring boot 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010361276/article/details/141930234
版权

漏洞原因查询网站推荐: 阿里云漏洞库 (aliyun.com)

因Jetty版本原因产生的漏洞问题

目前使用的版本是9.3.25, 升级版本到9.4.55后漏洞都不再提示了。

涉及到的漏洞信息如下:

漏洞名称影响版本/修复版本参考链接
Eclipse Jetty 资源管理错误漏洞(CVE-2021-28165)影响版本: Eclipse Jetty 7.2.2 to 9.4.38, 10.0.0.alpha0 to 10.0.1, and 11.0.0.alpha0 to 11.0.1https://avd.aliyun.com/detail?id=AVD-2021-28165
Eclipse Jetty不受控制的资源消耗漏洞(CVE-2023-36478)7影响版本: 11.0.0至11.0.15版本、10.0.0至10.0.15版本和9.0.0至9.4.52版本中https://avd.aliyun.com/detail?id=AVD-2023-36478
Eclipse Jetty 安全漏洞(CVE-2024-22201)修复版本: 9.4.54、10.0.20、11.0.20和12.0.6https://avd.aliyun.com/detail?id=AVD-2024-22201
Eclipse Jetty 安全漏洞(CVE-2022-2048)影响版本: Eclipse Jetty 9.4.46及之前版本、10.0.9 及之前版本、11.0.9及之前版本https://avd.aliyun.com/detail?id=AVD-2022-2048
Eclipse Jetty 安全漏洞(CVE-2020-27216)影响版本: 1.0 thru 9.4.32.v20200930版本, 10.0.0.alpha1 thru 10.0.0.beta2版本, 11.0.0.alpha1 thru 11.0.0.beta2Ohttps://avd.aliyun.com/detail?id=AVD-2020-27216
Eclipse Jetty跨站脚本执行漏洞(CVE-2019-10241)影响版本: Eclipse Jetty 9.2.26及之前版本、9.3.25及之前版本和9.4.15及之前版本https://avd.aliyun.com/detail?id=AVD-2019-10241
Eclipse Jetty 资源管理错误漏洞(CVE-2023-26048)修复版本: 9.4.54、10.0.20、11.0.20和12.0.6https://avd.aliyun.com/detail?id=AVD-2023-26048
Eclipse Jetty 信息泄露漏洞(CVE-2019-10247)影响版本: Eclipse Jetty 7.x版本,8.x版本,9.2.27及之前版本,9.3.26及之前版本,9.4.16及之前版本https://avd.aliyun.com/detail?id=AVD-2019-10247
Eclipse Jetty 信息泄露漏洞(CVE-2019-10246)影响版本;Eclipse Jetty 9.2.27、9.3.26和9.4.16及其之前版本https://avd.aliyun.com/detail?id=AVD-2019-10246
Eclipse Jetty信息泄露漏洞(CVE-2021-28169)9.4.41、10.0.3、11.0.3 及其之前版本https://avd.aliyun.com/detail?id=AVD-2021-28169
Eclipse Jetty 信息泄露漏洞(CVE-2023-26049)影响版本未知,建议升级到最新版本https://avd.aliyun.com/detail?id=AVD-2023-26049
Eclipse Jetty 安全漏洞(CVE-2023-36479)修复版本: 9.4.52, 10.0.16, 11.0.16 and 12.0.0-beta2https://avd.aliyun.com/detail?id=AVD-2023-36479

临时修复方案: CDH 端口未授权访问:hdfs-50070, yarn-8088, jetty漏洞修复_cve-2022-2048-CSDN博客

Spring Boot Actuator未授权访问漏洞 【原理扫描】

产生原因是系统中暴露了部分监控端点且没有添加权限,解决方案是添加如下配置, 禁用端口

management:
  endpoints:
    enabled-by-default: false
  server:
    port: -1

需要注意的是如果只配置了enabled-by-default:false 再次扫描时还是会提示这个漏洞,加入management.server.port=-1这个配置即可解决了,亲测有效。

验证方式是访问http://ip:port/actuator 及其暴露的其他端点. 如/env, /beans等

Swagger API 未授权访问漏洞【原理扫描】

产生原因是生产环境系统中的swagger未关闭,解决方案是添加配置关闭swagger即可。

服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】

产生原因是rocketmq的部分端口支持了重协商,可以通过输入命令一直链接,解决方案是修改重协商配置
参考链接: https://blog.csdn.net/weixin_54626591/article/details/137042422

SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】

这个问题出现的位置一般都与SSL的配置相关,比如tomcat服务器、nginx配置等等。(针对这些场景网上也有很多对应的方案,不再赘述。)

我这个漏洞产生原因是es在使用searchguard配置ssl时,存在一些dh参数长度为1024的加密算法,被认为是不安全的,
searchguard配置参考链接: https://docs.search-guard.com/latest/configuring-tls

修改方案为修改elasticsearch.yml配置文件,添加如下配置:

searchguard.ssl.http.enabled_protocols:
  - "TLSv1.2"
  - "TLSv1.3"

searchguard.ssl.http.enabled_ciphers:
  - "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"
  - "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"
  - "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
  - "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"

searchguard.ssl.transport.enabled_protocols:
  - "TLSv1.2"
  - "TLSv1.3"

searchguard.ssl.transport.enabled_ciphers:
  - "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"
  - "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"
  - "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
  - "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"

关于ssl的安全漏洞扫描推荐一款工具: testssh

参考文章:

推荐开源项目:testssl.sh - 强大的SSL/TLS检测工具-CSDN博客

TLS/SSL测试神器:testssl.sh安装使用说明-CSDN博客

泽济天下
关注
  • 12
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java Web项目漏洞修复(绿盟检测)
博客
08-28 5374
前言 在公司给客户做的一个项目中,客户使用绿盟进行了项目漏洞扫描,这里记录一下我做的一些漏洞修复方法。 检测到目标URL存在http host头攻击漏洞 由于我使用的是Nginx,因此只需要在Nginx的配置文件里面配置,使项目只能以指定域名(由于没有提供域名,设置的是ip)来访问,如下在设置server_name,这里可以使用多个域名),如果使用其他域名(如localhost)访问直接返回4...
12. Bash Shell 历史记录管控
纽雪澳诺加海美德的博客
01-11 647
开篇词 结合 Bash Shell 的命令重用特性,使用之前用过的命令或查看最近使用过的命令将变的简单。   历史命令所存文件 echo $HISTFILE   历史命令可保留的行数 echo $HISTSIZE echo $HISTFILESIZE   历史命令列表 history   执行用过的命令 !! # Ctrl+P 可以达到相...
绿盟安全事件响应观察漏洞频繁爆发
m0_73803866的博客
11-04 1188
在企业安全建设过程中,加强漏洞管理并有效运营是不可或缺的重要环节。除了日常对业务系统通 过安全测试、代码审计发现漏洞外,企业运营过程中使用的软件、服务、系统的自身通用漏洞同样也需 要重点关注。建立企业内的漏洞风险等级体系:从影响面(是否为核心业务系统)、危害性(利用难度、造成危害) 等维度对漏洞进行定级,并对不同等级漏洞制定相应的处置响应时间。制定漏洞处置流程:在发现漏洞并完成定级后,分发至对应负责人员进行漏洞修复,并定期跟 进漏洞修复情况,对无法按时修复的漏洞进行说明。
一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)
分享型博主
07-26 7040
文章来自一份绿盟安全评估中的服务器漏洞扫描分析结果,据市场研究公司Gartner研究报告称“实施漏洞管理的企业会避免近90%的攻击”。可以看出,及时的漏洞修补可以在一定程度上防止病毒、攻击者的威胁。这个报告是合作单位的服务器安全评估出来的,帮忙协助处理下,希望对看到的小伙伴有所帮助,有问题咱们一起讨论实践哦。
linux服务器基线加固、安全漏扫工具(绿盟...)扫出来的系统漏洞
swindy博客
12-05 2897
以下脚本主要是修复漏扫工具扫出来的一些系统漏洞 例如:密码强度策略、默认密码有效期、ssh配置加固… 生产环境服务器为Centos7系列、在执行基线加固脚本后、重新对该服务器进行再次漏扫、已消除绝大部分检查项目 #!/bin/bash ### Hardening Script for CentOS7 Servers. ##定义变量### BACKUP=$(date +%F:%T) services_to_disable="chargen-dgram chargen-stream daytime-dgra
绿盟对上线项目进行扫描,目标URL存在http host的头攻击漏洞,解决方案和验证
热门推荐
我的成长之路!
08-07 3万+
近期在使用绿盟对线上项目进行安全扫描时,发现系统存在host头攻击漏洞。在此记录解决的过程以便后期回顾 上述问题出现的原因为在项目中使用了 request.getServerName 导致漏洞的出现  不要使用request中的serverName,也就是说host header可能会在攻击时被篡改,依赖request的方法是不可靠的,形如JSP头部中的: String path = r...
目标URL存在跨站漏洞和目标URL存在http host头攻击漏洞处理方案
ZhengYanFeng1989的博客
03-20 7095
目标URL存在跨站漏洞和目标URL存在http host头攻击漏洞处理方案若需要学习技术文档共享(请关注群公告的内容)/讨论问题 请入QQ群:668345923 ;若无法入群,请在您浏览文章下方留言,至于答复,这个看情况了目录HTTP协议详解引言一、HTTP协议详解之URL篇二、HTTP协议详解之请求篇三、HTTP协议详解之响应篇四、HTTP协议详解之消息报头篇五、利用telnet观察http协议...
网站漏洞整改报告公司之攻防方案
网站安全专家
02-24 2177
网站安全攻防演练整改建议全周期实施安全监控服务,系统上线前进行安全监控,问题发生后及时整改复测,确保系统无高风险,中风险漏洞后方可上线试运行。系统运行期间,定期进行安全监控,将新发现的安全风险记录在《安全隐患通知书》中,并通知相关单位进行修复。企业网站安全人员应实施全周期安全监控服务,定期进行安全监控、研判分析和应急处置,通过全天候管理加强监控。建议每月组织一次应急演练,对安全事件进行应急处置,并在此基础上修订应急预案。建议应急演练以实战攻防的形式进行,主题可以是勒索病毒、网络攻击等。
绿盟科技安全态势感知解决方案
weixin_33734785的博客
07-03 3695
信息安全目前越来越受到重视,“棱镜门”事件爆发后,信息安全不仅引起了企业领导的重视,更引起了国家领导人的广泛关注。在这种背景下,企业无论是出于对自身利益的考虑,还是对于社会责任的角度,都已经开始构建更为丰富的内部安全系统。 这些系统不仅涵盖基本的防火墙,入侵检测、防病毒;还包括目前主流的上网行为审计,堡垒机系统,数据库审计系统,网站防火墙系统;以及符合最...
XSS跨站脚本漏洞简介、原理及防护方法
m0_54899775的博客
03-21 7894
XSS跨站脚本漏洞简介、原理及防护方法 XSS跨站漏洞原理及防护
Knife4j:为Spring Boot API赋能的文档生成器
apple_64847327的博客
09-04 782
Knife4j,原名swagger-bootstrap-ui,是一个为Swagger生成更美观UI的增强工具。它不仅提供了更友好的用户界面,还增加了在线调试、文档导出、个性化配置等实用功能。Knife4j的设计理念是“像一把匕首一样小巧、轻量且功能强悍”,旨在为开发者提供更加便捷的API文档管理和测试工具。
利用Spring Boot Actuator进行应用性能调优
心猿意码
09-04 439
Spring Boot Actuator是一个可以让你轻松地暴露生产环境中运行的应用程序的当前状态的模块。它提供了一系列的HTTP端点,这些端点可以用来获取应用程序的各种内部信息,比如健康状况、度量指标、审计事件等。通过这些端点,我们可以更方便地了解应用的运行情况,进而对其进行调优。
从零开始构建Spring Boot RESTful API
微赚开发者技术分享博客
08-31 1230
定义模型是构建RESTful API的第一步。模型通常表示数据库中的表。
深入理解Spring Boot配置文件的高级用法
fudaihb的博客
08-31 1869
Spring Boot项目中,配置文件扮演着至关重要的角色。通过配置文件,我们可以灵活地管理应用程序的各种配置项,从数据库连接到日志设置,再到自定义属性,几乎涵盖了应用的方方面面。Spring Boot提供了强大的配置文件支持,不仅仅限于简单的键值对配置,更有许多高级特性可以帮助我们更好地管理和组织配置内容。本文将深入探讨Spring Boot配置文件的高级用法,帮助你充分发挥配置文件的潜力。
spring boot 项目 prometheus 自定义指标收集区分应用环境集群实例ip,使用 grafana 查询--方法耗时分位数指标
JellyfishMIX 的博客
09-01 1406
介绍了方法耗时分位数指标的收集和查询。通过 prometheus 收集,grafana 查询视图。自定义指标可以区分应用、环境、集群、实例。
Spring Boot如何解决跨域问题?
HBLOG
08-28 900
跨域请求,就是说浏览器在执行脚本文件的ajax请求时,脚本文件所在的服务地址和请求的服务地址不一样。说白了就是ip、网络协议、端口都一样的时候,就是同一个域,否则就是跨域。这是由于Netscape提出一个著名的安全策略——同源策略造成的,这是浏览器对JavaScript施加的安全限制。是防止外网的脚本恶意攻击服务器的一种措施。
Spring Boot实现文件上传和下载
最新发布
HBLOG
09-04 522
Web项目中,文件的上传和下载服务也是基于HTTP请求的,文件上传由于需要向服务接口提交数据,可以使用POST的请求方式,而文件的下载只是获取数据,因此可以使用GET请求方式。项目中经常会有上传和下载的需求,这篇文章简述一下springboot项目中实现简单的上传和下载。创建好指定的文件存放路径文件夹后,上传逻辑只需要将接收到的文件数据赋值到指定路径后即可。文件的下载逻辑是根据指定的文件名称到文件资源文件夹中获取,如果存在则返回文件。以上只是一些关键代码,所有代码请参见下面代码仓库。
Spring boot之自动装配
一个老Java开发的自白
08-29 1389
Spring Boot的自动装配通过条件注解、spring.factories文件及Spring容器机制,在启动时自动配置和初始化所需组件,简化Spring应用搭建。核心在于@SpringBootApplication注解,包含自动配置与组件扫描功能。Spring Boot通过条件注解控制组件装配,如@ConditionalOnClass、@ConditionalOnBean等。自动配置类位于spring-boot-autoconfigure中,由spring.factories文件引导加载。
绿盟漏洞扫描console口乱码
08-13
绿盟漏洞扫描中,如果出现console口乱码的问题,可能是由于字符编码不一致导致的。解决这个问题的方法是在运行绿盟漏洞扫描时,添加适当的字符编码参数,确保扫描工具和目标系统的字符编码一致。具体的解决方式可能因绿盟漏洞扫描的版本和配置而有所不同,建议参考绿盟漏洞扫描的文档或联系绿盟技术支持获取具体的解决方案。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [网络安全面试](https://blog.csdn.net/u010510234/article/details/131628389)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* [渗透测试面试百题斩](https://blog.csdn.net/weixin_62369433/article/details/127807812)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

泽济天下

你的鼓励是我最大的动力。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值