CVE-2007-1157(jboss CSRF漏洞)

最新推荐文章于 2024-07-23 17:29:37 发布
最新推荐文章于 2024-07-23 17:29:37 发布
阅读量238 收藏
点赞数
分类专栏: 漏洞解决 文章标签: csrf java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43210388/article/details/127963067
版权

参考链接:
jboss 跨站请求伪造漏洞
Vulnerability Details : CVE-2007-1157

漏洞影响范围:
目前的版本可能都有

漏洞级别:
阿里云ARMS显示高危
阿里云漏洞库未评级
cvedetails评分:
在这里插入图片描述

备注:
CVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。
漏洞的最终得分最大为10,最小为0。
得分7~10的漏洞通常被认为比较严重
得分在4~6.9之间的是中级漏洞
得分0~3.9的则是低级漏洞

漏洞描述:
Cross-site request forgery (CSRF) vulnerability in jmx-console/HtmlAdaptor in JBoss allows remote attackers to perform privileged actions as administrators via certain MBean operations, a different vulnerability than CVE-2006-3733.

解决方案:
建议您更新当前系统或软件至最新版,完成漏洞的修复。
从描述来看,当使用JBoss作为服务器时才会有本漏洞
如果是springboot使用undertow的话,也可能会被检测到,但是如下的链接是无法访问的
http://127.0.0.1:8080/jmx-console/HtmlAdaptor
保守起见,如果是springboot,可以直接使用tomcat

一枝花傲寒
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CSRF跨站请求伪造漏洞修复
折腾java的博客
06-09 3080
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求中重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。 经测试,服务器未校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。增加拦截器,判断referer是否合法,合法则放行。......
CVE-2007-1567分析学习构造poc
黑夜黎明
06-05 1439
测试溢出点范围 import socket buffer="A"*1000 s=socket.socket(socket.AF_INET,socket.SOCK_STREAM) s.connect(("192.168.136.140",21)) str="User "+buffer+"\r\n" str=str.encode() s.send(str) 重运行或重附加报错 删除FtpDoemo...
【七】Netty JBoss Marshallin 编解码
echohuangshihuxue的博客
01-09 467
本章介绍了如何使用Netty的Marshalling 编码器和解码器对POJO对象进行序列化。通过使用Netty的 Marshalling 编解码器,我们可以轻松的开发出支持 JBoss Marshalling 序列化的客户端和服务端程序, 方便对接JBoss 的内部模块,同时也利于对已有使用JBoss Marshalling 框架做通信协议的模块的桥接和重用
springboot项目漏洞“远端WWW服务支持TRACE请求”解决
coder_afly的博客
02-03 2676
springboot项目漏洞“远端WWW服务支持TRACE请求”解决
JBoss常见漏洞整理
热门推荐
寒星的博客
06-01 1万+
JBoss常见漏洞整理 JBoss是一个基于J2EE的开放源代码应用服务器,代码遵循LGPL许可,可以在任何商业应用中免费使用;JBoss也是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。 JBoss高危漏洞主要涉及到以下两种。 第一种是利用未授权访问进入JBoss后台进行文件上传的漏洞,例如:CVE-2007-1036,CVE-2010-0738,CVE-2006.
CVE-2017-15715漏洞复现
大方子
07-25 1万+
复现环境 docke apache 2.4.0到2.4.29即可 php5.5 复现过程 先在物理机上创建目录 mkdir -p /var/www/html 然后创建个容器,并关联物理机的/var/www/html目录 docker run -d -v /var/www/html:/var/www/html -p 8080:80 --name apache php...
mysql服务器rename table系统表格覆盖漏洞_CVE-2007-5969 MySQL服务器RENAME TABLE系统表格覆盖漏洞-漏洞情报、漏洞详情、安全漏洞、CVE - 安全客,安全资...
weixin_32382353的博客
02-03 243
|参考资料来源:BID名称:31681链接:http://www.securityfocus.com/bid/31681来源:FEDORA名称:FEDORA-2007-4471链接:https://www.redhat.com/archives/fedora-package-announce/2007-December/msg00475.html来源:FEDORA名称:FEDORA-2007-44...
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
CVE-2017-12149JBOSSas6.X反序列化(反弹shell版)
08-08
【标题】"CVE-2017-12149 JBOSS AS 6.X 反序列化漏洞详解及反弹shell技术" 【内容】 CVE-2017-12149是一个针对JBOSS Application Server 6.x版本的严重安全漏洞,它涉及到了Java对象的反序列化过程。在Java中,反...
为什么很多SpringBoot开发者放弃了Tomcat,选择了Undertow
欢迎关注公众号:【码农突围】,回复9999,可以获取一份LeetCode刷题笔记
02-09 545
点击上方“码农突围”,马上关注这里是码农充电第一站,回复“666”,获取一份专属大礼包真爱,请设置“星标”或点个“在看”作者:阿迈达toutiao.com/a67754766594169...
Undertow技术:为什么很多Spring Boot开发者放弃了Tomcat
HollisChuang's Blog
02-23 2287
作者:阿迈达聊技术https://www.toutiao.com/a6775476659416990212前言在 Spring Boot 框架中,我们使用最多的是 Tomcat,这是 S...
CSRF(Cross-site request forgery)
fencecat的博客
07-20 744
CSRF是一个web安全漏洞,该漏洞通过引诱用户来执行非预期的操作。该漏洞使得攻击者能够绕过同源策略,同源策略是一种用来阻止不同网站相互干扰的一种技术。 CSR跨站请求伪造,攻击者利用服务器对用户的信任,从而欺骗受害者去服务器上执行受害者不知情的请求。在CSRF攻击场景中,攻击者会伪造一个请求(一般为链接),然后欺骗用户进行点击,用户一旦点击,整个攻击也就完成了。所以CSRF攻击也被称为”one click"攻击。
CSRF+XSS组合攻击实战
记录学习
07-19 1319
xss和csrf组合攻击漏洞复现
DVWA靶场超(详细教程)--跨站攻击(XSS+CSRF)
weixin_60838266的博客
07-19 1120
webanquan”去掉了(替换为空),我们的输入从alert变成了alert()
CSRF防御及模拟CSRF攻击
qq_37550440的博客
07-19 1009
防御csrf攻击方式 CSRF Token则是为了防止跨站请求伪造攻击而设计的。在CSRF攻击中,攻击者试图诱使已登录的用户在不知情的情况下执行恶意操作,例如转账或改变账户设置。CSRF Token是一种额外的安全措施,用来确认发起请求的页面是可信任的源。
pikachu 之CSRF(跨站请求伪造)get和post型
最新发布
LIU6636LIU的博客
07-23 135
pikachu 之CSRF(跨站请求伪造)get和post型
Apache Spark 命令注入漏洞CVE-2022-33891)修复与利用
Apache Spark 命令注入漏洞CVE-2022-33891) Apache Spark 命令注入漏洞CVE-2022-33891)是 Apache Spark 中的一种高危漏洞,允许攻击者通过命令注入来执行恶意命令,从而控制服务器。该漏洞影响 Apache Spark ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值