使用了与请求的协议不兼容的地址_漏洞预警TikTok使用不安全协议;WebSphere 远程代码执行漏洞...

于 2021-01-28 11:07:17 发布
阅读量400 收藏
点赞数
文章标签: 使用了与请求的协议不兼容的地址
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29306011/article/details/113369331
版权
本文详细分析了WebSphere的远程代码执行漏洞(CVE-2020-4276、CVE-2020-4362)和TikTok使用不安全HTTP协议的问题,阐述了这两个漏洞的影响范围和潜在威胁,同时给出了修复建议和数据加密的重要性。
摘要由CSDN通过智能技术生成

漏洞预警

WebSphere 远程代码执行漏洞(CVE-2020-4276、CVE-2020-4362)

漏洞信息

WebSphere是IBM的软件平台。它包含了编写、运行和监视全天候高强度的随需应变 Web 应用程序和跨平台、跨产品解决方案所需要的整个中间件基础设施,如服务器、服务和工具。WebSphere提供了可靠、灵活和健壮的软件。

d04341f3b4ae989aaccf03a22b94cf4f.png

CVE-2020-4276 和 CVE-2020-4362 是由长亭科技安全研究员 Noxxx 发现的存在于 WebSphere SOAP Connector 服务中的远程代码执行漏洞。当WebSphere Application Server的SOAP连接器的管理请求中使用基于令牌的认证时,未经授权的远程攻击者可以构造恶意的认证请求,在目标服务器造成远程特权提升,并执行恶意代码,获取系统权限。

影响范围

• WebSphere Application Server 9.0.x

• WebSphere Application Server 8.5.x

• WebSphere Application Server 8.0.x

• WebSphere Application Server 7.0.x 

漏洞分析

信息安全的三要素为机密性、完整性、可用性。此漏洞对这三要素的影响都较高,但需要一定的权限,且攻击复杂度高,所以CVSS最终评分为7.5,判定为高危。

CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)

80d9d846a685fbcd9ea388944cb7aa4f.png

通过这张表我们不难看出,尽管攻击复杂度高,但对系统的影响是巨大的,可以远程命令执行(Remote Command Execution)。远程命令执行是指攻击者可以通过网络对目标系统进行操作,包括执行恶意代码,获取系统权限。若是被竞争对手发现,也可能盗取你的机密文件,删掉你的数据库甚至整个系统。

对企业来说,我们无法修改这些漏洞的代码,所以要及时看到所用软/硬件发布的漏洞预警,及时打补丁,避免损失。

除了及时打补丁外,企业也要做到及时备份系统及数据库,建议使用异地备份,按数据更新快慢来决定备份的频率。防止出现异常后无法恢复数据造成损失。

修复建议

• WebSphere Application Server V9.0.0-V9.0.5.3: 更新安全补丁PH21511 及PH23853

• WebSphere Application Server V8.5.0.0-V8.5.5.17: 更新安全补丁PH21511 及PH23853

• WebSphere Application Server V8.0.0.0-V8.0.0.15: 升级到8.0.0.15 版本,然后更新安全补丁PH21511 及PH23853

• WebSphere Application Server V7.0.0.0-V7.0.0.45: 升级到7.0.0.45 版本,然后更新安全补丁PH21511 及PH23853

可以通过运行IBM Installation Manager 进行更新,根据程序提示进行补丁下载、漏洞修复的工作。

ce9e034053d32d134b4cdd52bcfe05f3.png

TikTok使用不安全协议

漏洞信息

TikTok是抖音短视频国际版,随着TikTok在海外接连获得佳绩,抖音短视频已经成为中国产品在海外获得成功的又一杰出代表,被视为中国移动产品出海的新模式。

7db9f15bc4e03d7fd87f0a6004d930e1.png

但近日,TikTok披露了一个安全隐患,当部分视频没有启用HTTPS,将会受到攻击者拦截追踪,甚至是篡改视频内容。开发人员Talal Haj Baktry和Tommy Mysk两人发现了TikTok这一漏洞,并进行了验证。结果发现安卓或者iOS客户端的TikTok用户的历史观看记录泄露,并且可以通过入侵本地网络,将客户端的视频换成其他的虚假视频。

1d301a66449c82d938c74061c9abe9ac.png

影响范围

TikTok

漏洞分析

数据加密传输,是HTTP和HTTPS之间的本质性区别。

HTTP协议是一种使用明文数据传输的网络协议,但随着互联网的发展,人们在互联网上的需求越来越多,例如支付等敏感操作。明文传输已经会让用户存在一个非常大的安全隐患,如果你的支付密码可能会被第三方截获,你还会放心使用这个HTTP协议的网站吗?

而HTTPS是HTTP协议的升级,是在HTTP协议的基础上增加了数据加密,就算你的数据被第三方截获,但由于数据是加密的,他仍然得不到你的信息,所以你的个人信息还是安全的。

说回TikTok,TikTok依赖于CDN(内容分发网络),按地址位置分享海量数据。但TikTok的CDN选择通过HTTP传输视频和其他媒体数据,这种方式将用户的隐私置于风险之中。在攻击者的眼里,你的抖音账户可能就是在“裸奔”。

5e813b0dc658abff3a423f4024f04020.gif

本周安全态势分析

本周发生的事件有WebSphere远程命令执行和TikTok使用不安全协议。

01

对于WebSphere的远程命令执行来说,作为用户,只能及时更新补丁,做好备份。作为企业来说,也无法保证自己写的代码一定没有问题,但还是需要在上线前做好一切的安全检测,尽最大可能保证用户的信息安全。

02

国内的安全相对于国外来说起步较晚,公众的安全意识也普遍偏低,国内市场不安全的软件其实很多,公众的不在意或者说市场监管力度的不足都导致企业自身也不太重视安全。对于字节跳动来说,其出海之路坎坷不断,根源在于自身审核机制的缺失、侵犯用户隐私、误导未成年人等诸多问题。一味盲目追求流量以及商业变现,让字节跳动在“保护用户隐私和数据安全”方面,还远赶不上其扩张的步伐。或许,字节跳动真应当放缓脚步,认真思考下企业的社会责任,回归到“记录美好生活”的愿景本身上来。

74905b36f71fc5f6aa0186d607b047c9.png

周君笔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iOS TikTok-27.2.0脱壳ipa
12-10
iOS TikTok_27.2.0脱壳ipa
tiktok_v3.0.2.apk
最新发布
04-27
tiktok_v3.0.2.apk
Unity3d连接SQL Server数据库出现SocketException: 使用了与请求协议不兼容地址错误
qq_39628463的博客
04-15 1141
1、引入程序集System.Data.dll,位置在C:\Program Files\Unity\Editor\Data\Mono\lib\mono\unity(默认位置),把System.Data.dll文件复制到当前Unity项目文件下,即Assets文件夹下就可以了 2、将程序集Sysem.Data.dll用VS2015手动引入即可。 using UnityEngine; using ...
前端入门级知识点有哪些 如何能学好HTTP协议
qq_43444478的博客
10-10 106
  前端入门级知识点有哪些?如何能学好HTTP协议?HTTP是一个简单的请求-响应协议,它通常运行在TCP之上,指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。HTTP协议是前端人员学习的入门级知识点,同时它也在不断的更新升级,接下来就给大家讲解一下HTTP协议相关的知识点。   HTTP协议是构建在TCP/IP协议之上的,是TCP/IP协议的一个子集,所以要理解HTTP协议,要先了解下TCP/IP协议相关的知识。TCP/IP协议族是由一个四层协议组成的系统,这四层分别为:应用层、传输层
使用蓝牙提示“使用了与请求协议不兼容地址
风流浪子的专栏
11-11 1万+
使用蓝牙提示“使用了与请求协议不兼容地址
使用了与请求协议不兼容地址
luols的专栏
06-29 2954
其实,这是你电脑里面曾经有流氓软件修改了你注册表中的网络连接设置,netsh winsock reset命令是用于重建注册表内的winsock的网络连接设置。解决办法:开始-运行-输入CMD-然后在黑色的DOS窗口中输入netsh winsock reset-重启
使用了与请求协议不兼容地址_生产环境Server-sent Events不能使用的问题
weixin_39887577的博客
11-30 386
背景我负责的鹰眼监控服务上线,部署完成,页面不能打开,通过接口观察发现,sse的连接不能拿到持续的推送响应数据,偶发能拿到部分数据分析1.能够正常请求,拿到http的响应数据(部分/不全),证明dns解析及nginx转发正常2.手动调用服务服务(线上)接口,正常推送响应数据,证明服务本身没问题3.测试及开发环境调用接口,正常推送响应数据,证明nginx的配置没问题(使用完全相同的配置)4.查看服务...
TikTok_23.5.0_Crack.ipa
03-22
TikTok_23.5.0_Crack.ipa
TikTok_23.3.0_1647100266.ipa
03-22
TikTok_23.3.0_1647100266.ipa
TikTok_29.2.4_armeabi-v7a 3.apk
04-28
TikTok_29.2.4_armeabi-v7a 3.apk
WebSphere集群配置
09-15
一、 搭建集群环境 1.1 安装软件 Websphere Application Server Network Deployment v6.0,简称WAS ND版。 1.2 搭建环境说明 本文将介绍如何在一台主机上安装集群管理端和一个节点,在另外一台机器上安装一个节点作为一个集群,当然可以在每台机器上安装多个节点,一个节点对应一个Windows Service,每个节点有独立的端口号。 1.3 安装集群管理端 将光盘插入光驱,回自动运行光盘根目录下的launchpad.bat,将会启动一个ND启动版安装页面,点击“启动Websphere ApplicationServer的安装指南”,如果ND启动版页面不能运行,也可以进入光盘的WAS目录,双点install.exe来启动安装向导: (1)出现第一个安装向导界面,点“下一步”按钮。 (2)出现“软件许可协议”的窗口,当然是选择“我接受许可协议中的全部条款”的单选按钮,然后点“下一步”。 (3)系统运行“系统先决条件检查”,点“下一步”。 (4)如果本机安装websphere,则出来一个“检测到一个现有的Websphere Application Server产品”,点“下一步”。 (5)出现一个窗口提示你安装Websphere的路径,输入你指定的安装路径,例如d:spherend,点“下一步”。 (6)出现的窗口中有应用程序服务器样本和javadoc的checkbox选项,你可以都选中,也可以不选,我安装时选择了javadoc选项,然后点此窗口的“下一步”按钮。 (7)下一个窗口显示安装所需要的磁盘空间,继续点“下一步”。 (8)出现软件的安装窗口,等待安装完毕。。。 (9)安装完毕,出现安装完成窗口,这个窗口的“启动概要表创建向导”按钮要选中,点下一步。 (10)出现新窗口(欢迎使用v6概要表创建向导),点“下一步”。 (11)出现的新窗口是“概要表创建向导”窗口,这个窗口有三个radio button选项,因为我们要先装一个集群管理端,所以要选择第一个选项,即创建Deployment Manager概要表选项,然后点下一步。顺便在这里说一下,如果只装一个节点,不装集群管理,则选择第二个选项(创建应用服务器程序概要表)。 (12)下一步的窗口要你输入一个概要表名,默认是Dmgr01,注意如果是集群管理的概要表,最好以dmgr开头,这样从安装后的文件夹一看就能明白dmgr目录是用于集群管理的概要表。 (13)下一步的窗口要你输入一个默认的安装路径,可以使用系统提示的安装路径。 (14)下一个窗口是输入节点、主机、单元名,可使用系统默认值,主机名不能自己随便改。点下一步。 (15)下一步是概要表的端口值指定窗口,系统会默认分配,但两个端口一定要记住,因为启动应用服务器控制台和添加节点要用到,所以要一定记住两个端口:管理控制台端口,如9060,SOAP连接器端口,如8879,每安装一个节点,端口值都不会重复,你可以在此窗口中修改这两个端口值。点下一步。 (16)然后出来“Windows服务定义端口”,如果你愿意将应用程序服务器作为windows服务运行,则选中“将应用服务器进程作为windows服务运行”的checkbox,建议选中,这样启动方便,否则要到安装后的程序目录找启动程序。Checkbox下面是“作为本地系统帐户登录”的radiobox,输入登录windows的有超级用户身份的用户帐号和口令(因为需要安装windows service),启动类型可选择“手工”或“自动”都可以。点下一步 (17)出现一个“概要表摘要”的窗口,点下一步。系统出现安装概要表的窗口,等待安装完毕。。。安装完毕后,出现“概要表安装完成”窗口,选中此窗口的“启动第一步控制台”,然后点下一步,出现一个新的窗口,先不要点“安装验证”,因为点了安装验证后会启动应用服务器,在启动前我得换一个系统jar包,就是jdom1.0.jar,这个jar包是改进的合并和 (18)将jdom-1.0.jar和xercers.jar复制到d:spherendlib目录下,并将此目录下的jdom.jar更名为jdom.ja(只要不是jar的扩展名就行),然后点17步有安装验证的窗口的“安装验证”,实际上是启动了集群管理的服务。 如果启动正常的话,安装验证的输出窗口最后是:VTL00801:安装验证完成。也可通过命令行启动集群管理服务:cmd.exe /c “D:spherendprofilesdmgr01instartmanager.bat” –profileName Dmgr01 (19)在桌面的我的电脑图标右键选择“管理”打开计算机管理窗口,检查集群服务是否运行,服务的名称为:IBM Websphere Application Server V6 – 机器名CellManager01,此时应为启动状态,打开浏览器,输入http://192.168.6.79:9060/admin,点登录按钮,这里的ip是我安装的主机的IP地址,端口9060是我安装时设定的端口,或输入http://localhost:9060/admin, 如出现了用户标识的登录页面则说明安装成功,此时页面用户标识右面的输入框不用输入内容,直接点登录,可进入集群管理的页面。
System.Net.Sockets.SocketException 使用了与请求协议不兼容地址
ahb0293的博客
11-13 2914
今天写一个socket通信程序时,为获取本机ip,我用两种方法写了一个函数或者虽然没出错,但有一个warning警告("System.Net.Dns*******"是废弃了,请另外使用GetHostEntrys)然后我也信了,它(MS)说怎么的就怎么的吧但是我继续运行socket程序时,报错出了异常信息(ip地址使用请求协议不兼容)然后我google了一下,原来是在vista,wi...
使用了与请求协议不兼容地址
dianli0582的博客
07-02 362
IPV4找不到的问题,多半是因为网卡太多导致无法找到调制使用哪个网卡 转载于:https://www.cnblogs.com/evan51/p/3819423.html
关于“使用了与请求协议不兼容地址”的解决
dengxunshu7407的博客
12-29 1148
刚才正在家研究.net,老婆的一个朋友C打电话来求助:“IT精英,赶快,我家不能上网了,怎么回事~~” 经询问,用邻居的笔记本插上她家的网线,人家可以上网,她自己的不行,那么通常情况下,问题应该是出在C的笔记本上,她告诉我网络的“小窗户”显示了一个惊叹号;常规疗法,开始-> 运行 -> cmd -> ipconfig -release -> ipconf...
蓝牙使用中出现“使用了与请求协议不兼容地址”的解决办法
kinber的专栏
11-01 3050
我在开发蓝牙设备的过程中出现了“使用了与请求协议不兼容地址”的错误。 在网上搜索到一个解决办法是使用命令:netsh winsock reset  。注:需要重启电脑
使用了与请求协议不兼容地址的解决办法。
热门推荐
每天进步一点点就好
05-29 2万+
       C#中使用HttpWebRequest,WebClient等进行网络操作有时候会提示异常,大致如: System.Net.WebException: 在 WebClient 请求期间发生异常。 ---> System.Configuration.ConfigurationErrorsException: 创建在“system.net/defaultProxy”配置节中指定的 Web
使用了与请求协议不兼容地址的解决办法
weixin_30390075的博客
08-03 1374
System.Net.WebException: 在 WebClient 请求期间发生异常。 ---> System.Configuration.ConfigurationErrorsException: 创建在“system.net/defaultProxy”配置节中指定的 Web 代理时出错。 ---> System.Net.Sockets.SocketException: 使用了...
IBM WebSphere 远程代码执行漏洞安全预警通告
内德
09-13 3922
       近日,IBM发布安全通告称修复了一个WebSphere Application Server中一个潜在的远程代码执行漏洞CVE-2018-1567)。攻击者可以构造一个恶意的序列化对象,随后通过SOAP连接器来执行任意JAVA代码.目前没有更多漏洞细节披露         该漏洞 CVSS 得分 9.8, 攻击者可在不经过身份认证的情况下远程对 We bSphere 服务器发起攻...
漏洞通告】WebSphere Application Server权限提升漏洞CVE-2020-4362)通告
爱国小白帽
04-14 1935
漏洞通告】WebSphere Application Server权限提升漏洞CVE-2020-4362)通告 原创 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)???? 今天 通告编号:NS-2020-0025 2020-04-14 TA****G: WebSphere、权限提升、CVE-2020-4362 漏****洞危害: 攻击者利用此漏洞,可实现...
tiktok_26.2.3_ar...7a_armv8a.apk
06-06
tiktok_26.2.3_ar...7a_armv8a.apk是由TikTok公司发布的安卓应用程序包文件。它是TikTok应用的最新版本,使用的架构是armv8a,其中ar...7a代表版本序列号。这个应用程序包可以被安装在支持安卓系统的智能手机上,并且能够让用户通过TikTok应用来浏览和分享短视频内容。此外,TikTok应用也提供了多种创意工具来让用户拍摄和编辑他们自己的短视频,并且可以通过TikTok上的音乐和特效来增强他们的创造力。因此,无论是想要娱乐还是想要创造内容的用户,都可以通过下载tiktok_26.2.3_ar...7a_armv8a.apk来使用这个热门的短视频社交应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值