Spring boot项目Fortify漏洞扫描问题解决

最新推荐文章于 2025-03-17 20:06:11 发布
最新推荐文章于 2025-03-17 20:06:11 发布
阅读量5.7k 收藏 8
点赞数
分类专栏: Spring学习 文章标签: 安全漏洞 Spring Fortify Actuator
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012723673/article/details/108349860
版权

一、背景

        前段时间公司使用Fortify工具对项目源码进行安全漏洞扫描,结果报出Dynamic Code Evaluation: Unsafe Deserialization漏洞。整个项目是基于Spring boot框架开发的。

二、问题源

   Fortify工具明确指出该安全漏洞是由于引入了Spring Boot Actuator依赖导致的

<dependency>
  <groupId>org.springframework.boot</groupId>
     <artifactId>spring-boot-starter-actuator</artifactId>
  </dependency>
<dependency>

显然,由于项目已经投入使用,不能将该依赖直接删除,影响太大。所以经过上网搜索终于找到解决办法,现分享如下:

三、解决办法

      Fortify报出这个问题不是因为Spring Boot Actuator本身,而是因为它对Jackson的传递依赖。Jackson可能包含了会对不可信数据进行反序列化,因此如果这个警告是Jackson发出的,那么它就是一个误报。       

     问题的根源是Spring Boot Actuator 对 "jackson-databind”的传递依赖导致的。这个漏洞在Jackson 2.9.7中被修复了,它阻止了某些类的多态反序列化。Spring Boot 2.0.6和2.1.0默认使用Jackson 2.9.7

解决方法:打开pom文件的依赖层次结构查看Jackson-databind版本。如果版本低

最低0.47元/天 解锁文章
Fortify代码扫描:Privacy Violation:Heap Inspection漏洞解决方案
初阶农民工的博客
01-06 2万+
该漏洞引发情况: 将敏感数据存储在 String 对象中使系统无法从内存中可靠地清除数据。 如果在使用敏感数据(例如密码、社会保障号码、信用卡号等)后不清除内存,则存储在内存中的这些数据可能会泄漏。通常而言,String是所用的存储敏感数据,然而,由于String对象不可改变,因此用户只能使用 JVM 垃圾收集器来从内存中清除String的值。除非 JVM 内存不足,否则系统不要求运...
Fortify漏洞之 Privacy Violation(隐私泄露)和 Null Dereference(空指针异常)
arkqyo2595的博客
05-14 7509
  继续对Fortify的漏洞进行总结,本篇主要针对Privacy Violation(隐私泄露)和Null Dereference(空指针异常)的漏洞进行总结,如下: 1.1、产生原因: Privacy Violation 会在以下情况下发生: 1. 用户私人信息进入了程序。 2. 数据被写到了一个外部介质,例如控制台、file system 或网络。 示例 ...
Fortify扫描漏洞解决方案
一杯咖啡的渗透记忆
03-23 1万+
Fortify扫描漏洞解决方案: Log Forging漏洞: 1.数据从一个不可信赖的数据源进入应用程序。在这种情况下,数据经由getParameter()到后台。 2. 数据写入到应用程序或系统日志文件中。这种情况下,数据通过info()记录下来。为了便于以后的审阅、统计数据收集或调试,应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性,审阅日志文件可在必要...
一款针对Spring框架的漏洞扫描及漏洞利用图形化工具
最新发布
qq_53058639的博客
03-17 343
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
springboot项目配置文件不允许出现明文密码的解决方法(jasypt使用方法)
BHSZZY的博客
04-14 2817
出于安全考虑,java项目配置文件中不允许出现明文密码;为了解决这个问题,可以使用jasypt这个jar包,这个jar包可以对字符串进行加解密,项目中引入后,在配置文件中写加密后的密码即可,项目启动时这个jar包就会对密码进行解密,不影响项目正常使用。java类中也不允许出现明文密码,也可以利用这个jar包进行加解密。
Fortify代码扫描问题及修复
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
09-07 1万+
静态代码扫描常见问题及修复 风险类型 原因 Code Correctness: Erroneous String Compare 字符串的对比使用错误方法 Cross-Site Scripting Web浏览器发送非法数据,导致浏览器执行恶意代码 Dead Code: Expression is Always true 表达式的判断总是true Dead Code: Unused Method 没有使用的方法 HTTP Response Splitting 含有未验证的数据
批量SpringBoot漏洞扫描利用工具 绕过waf检测|漏洞探测,附下载链接。
分享渗透安全工具
10-04 847
SpringBoot漏洞扫描工具旨在帮助用户检测SpringBoot应用中的安全漏洞。默认情况下,它会优先从springboot\_urls.txt文件中读取扫描路径。若接口不存在,工具会尝试拼接API前缀进行扫描。扫描所需的URL应直接放在urls.txt中,而扫描结果和下载的heapdump文件将保存在result目录下。
MixewayHub:Mixeway是漏洞扫描程序的安全协调器,可轻松插入与CICD管道的集成。 MixewayHub项目包含一键式docker-compose文件,可从docker hub配置和运行映像
05-06
Mixeway Hub 关于Mixeway: Mixeway是一个开源软件,旨在简化使用CICD程序实施的项目的安全保证过程。 Mixawey不是另一个漏洞扫描软件,它是安全... 后端-Spring Boot REST API 前端-Angular 8应用程序 DB-Postgre
【安全实践】:社区老人健康信息系统中Spring Boot的OWASP安全标准
首先,介绍了OWASP安全标准的基本概念及与Spring Boot的关联,随后重点分析了OWASP Top 10中提出的常见安全风险,并结合Spring Boot中的具体漏洞案例进行了深入研究。紧接着,文章阐述了如何在Spring Boot项目中实施...
Spring Boot框架安全机制:OAuth2、JWT、Spring Security实战(构建安全可靠的应用)
![Spring Boot框架安全机制:OAuth2、JWT、Spring Security实战(构建安全可靠的应用)]...Spring Boot提供了一系列安全机制来保护Web应用程序,包括身份验证、授权和
如何在自动化安全测试中,实现多工具集成与数据融合,以提高对Spring Boot应用程序安全漏洞的检测效率与准确性?
2403_87236754的博客
12-05 915
为了在自动化安全测试中实现多工具集成与数据融合,以提高对Spring Boot应用程序安全漏洞的检测效率与准确性,可以采取以下策略和方法:
fortify 漏洞扫描的几种解决方式
热门推荐
wuhenlove的博客
08-22 2万+
1.    关于Log的问题(Log Forging),整个系统中,对于Log的问题最多,可以采用以下方式进行解决解决方案如下: 1) 只输出必要的日志,功能上线前屏蔽大多数的调试日志。 2) 过滤掉非法字符:   2.    关于创建File(Path Manipulation)的问题Fortify扫描遇到了Path Manipulation问题,定位代码如下: 1
高危漏洞利用工具|一款专注Spring综合漏洞的利用工具
bobo_patrick的博客
03-12 555
Spring Cloud Gateway RCE(CVE-2022-22947)、Spring Cloud Function SpEL RCE (CVE-2022-22963)、Spring Framework RCE (CVE-2022-22965) 的检测以及利用,目前仅为第一个版本,后续会添加更多漏洞POC,以及更多的持久化利用方式,如果你是一个长期一线攻防选手,那么这款工具对你来说简直不要太棒了,让你在众多目标中快速检测spring相关的CVE漏洞。
Mybatis 扫描依赖包中的mapper
maple_son的专栏
04-21 3672
业务场景 1/提取公共mapper文件配置 2/集成springboot starter特性,依赖即生效 方法 1/引入依赖后包,再使用@MapperScan 在配置类中添加注解,完成扫描指包定的mapper文件 2/在依赖包中复制类 org.mybatis.spring.mapper.MapperScannerConfigurer 为 CustomMapperScannerConfigurer ...
Fortify代码扫描解决方案
weixin_34072159的博客
08-24 5825
Fortify扫描漏洞解决方案: Log Forging漏洞: 1.数据从一个不可信赖的数据源进入应用程序。在这种情况下,数据经由getParameter()到后台。2. 数据写入到应用程序或系统日志文件中。这种情况下,数据通过info()记录下来。为了便于以后的审阅、统计数据收集或调试,应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性,审阅日志文件可在必要时...
Dynamic Code Evaluation:Unsafe Deserialization 动态代码评估:不安全反序列化
Dearzh的博客
11-15 637
Abstract: 在运行时对用户控制的对象流进行反序列化,会让攻击者有机会在服务器上执行任意代码、滥用应用程序逻辑和/或导致 Denial of Service。 Explanation: Java 序列化会将对象图转换为字节流(包含对象本身和必要的元数据),以便通过字节流进行重构。开发人员可以创建自定义代码,以协助 Java 对象反序列化过程,在此期间,他们甚至可以使用其他对象或代理替代反...
fortify源代码扫描问题分析汇总
Websec
07-21 1万+
编号 漏洞名称 漏洞危害 修复建议 1 Dynamic Code Evaluation: Unsafe Deserialization 动态代码评估:不安全的反序列化 Actuator正是Spring Boot提供的对应用系统的监控和管理的集成功能,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的详细信息等。在使用...
Fortify漏洞之Dynamic Code Evaluation: Code Injection(动态脚本注入)和 Password Management: Hardcoded Password(密...
arkqyo2595的博客
05-14 1939
  继续对Fortify的漏洞进行总结,本篇主要针对 Dynamic Code Evaluation: Code Injection(动态脚本注入)和Password Management: Hardcoded Password(密码硬编码)的漏洞进行总结,如下: 1.1、产生原因:   许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

老鼠只爱大米

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值