BUG
BUG、漏洞
gblfy
心如向阳,次第花开!
展开
-
关于Spring Data MongoDB SpEL表达式注入漏洞(CVE-2022-22980)的预警提示
注入漏洞原创 2022-11-05 12:42:10 · 736 阅读 · 0 评论 -
漏洞情报|Jackson-databind反序列化漏洞风险通告(CVE-2020-35490,CVE-2020-35491)
反序列化漏洞原创 2022-11-05 12:36:54 · 2650 阅读 · 0 评论 -
nacos未授权访问漏洞【原理扫描】
解决方案vim /nacos/conf/application.properties添加#开启认证配置nacos.core.auth.enabled=true原创 2022-04-07 17:36:30 · 3604 阅读 · 1 评论 -
vsftpd FTP Server ‘ls.c‘ 远程拒绝服务漏洞(CVE-2011-0762)漏洞修复方案
以前如果安装过只是为了升级,需要先卸载,在安装停止现有的vsftpd服务service vsftpd stop在线卸载vsftpdyum remove -y vsftpd删除以前的目录rm -rf /etc/vsftpd -R软连接ln -s /lib64/libcap.so.2.16 /usr/lib/libcap.so下载vsftpd、解压cd /appwget https://fossies.org/linux/misc/vsftpd-3.0.5.t..原创 2021-12-16 13:37:41 · 5617 阅读 · 1 评论 -
全站CSRF漏洞
文章目录二、解决方案2.1. 创建CSRF防御统一管理2.2. 创建csrfToken校验2.3. 加密工具类2.4. 查询实战二、解决方案2.1. 创建CSRF防御统一管理package com.gblfy.sys.config.web.csrf;import com.gblfy.base.utils.SHACoderUtil;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpSession原创 2020-12-15 19:00:24 · 914 阅读 · 0 评论 -
检测到远端X服务正在运行中
文章目录一、 漏洞详情二、 解决方案2.1. 方案1(推荐使用)2.2. 方案2一、 漏洞详情二、 解决方案2.1. 方案1(推荐使用)既然漏洞是6000端口导致的,首先要分析linux6000端口是谁在用呢、又和什么程序有关?如果没有用直接关掉6000端口即可,对吧!小伙伴本们!xwidows在用,图形化用的,例子:linux环境安装oracle服务端,需要图形化重点:如果需要图形化但又要解决漏洞方案:开启防火墙只允许指定端口访问,需要图形化的时候开启6000端口访问,不需要图形化的时候关原创 2020-12-06 12:25:12 · 9151 阅读 · 1 评论 -
Apache Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞【原理扫描】
文章目录一、分析定位1. 漏洞描述2. 项目引发漏洞简述二、解决方案2.1. 若依系统2.2. Gus系统一、分析定位1. 漏洞描述目前厂商已经发布了新版本修复这个安全问题,请到厂商的主页下载: https://issues.apache.org/jira/browse/SHIRO-550 https://shiro.apache.org/download.html 2. 项目引发漏洞简述若依/Guns管理系统使用了Apache Shiro,Shiro 提供了记住我(RememberM原创 2020-12-06 12:01:16 · 4268 阅读 · 0 评论 -
点击劫持:X-Frame-Options未配置
解决方案:设置X-Frame-Options参数即可具体操作步骤如下:在上面filter基础上添加即可解决httpResp.addHeader("x-frame-options","DENY");附上源码:package com.sinosoft.fis.util;import java.io.IOException;import javax.servlet.Filter;im...原创 2019-12-25 14:57:00 · 1337 阅读 · 0 评论 -
检测到会话cookie中缺少HttpOnly属性
解决方案01:在会话cookie中添加HttpOnly属性具体操作步骤如下:HttpServletResponse response2 = (HttpServletResponse)response;response2.setHeader( "Set-Cookie", "name=value; HttpOnly");解决方案02(建议使用):在会话cookie中添加HttpOnly属...原创 2019-12-25 14:51:47 · 6013 阅读 · 0 评论 -
检测到目标FTP服务可匿名访问
漏洞名称:检测到目标FTP服务可匿名访问解决方案:关闭FTP服务可匿名访问具体操作步骤如下#编辑 vim /etc/vsftpd/vsftpd.conf#修改anonymous_enable=YES 为 NO#保存退出#重起服务 /etc/init.d/vsftpd restart 生效...原创 2019-12-25 14:29:42 · 980 阅读 · 0 评论 -
服务器漏洞处理_wildfly禁用https和8443端口
文章目录一、https和84431. 问题分析1.1. https1.2. 8443端口2. 思路预测3. 解决方案一、https和84431. 问题分析1.1. https从以上2个漏洞分析,都和8443端口有关,而8443是https的端口,由此分析,和https有关。1.2. 8443端口8443端口是应用服务器的端口,去找到应用的配置文件中是否有此配置,如果配置文件中配置了,...原创 2019-12-25 14:18:11 · 4453 阅读 · 0 评论