springboot maven项目漏洞排查修复过程记录(个人笔记)

已于 2023-08-14 15:22:15 修改
阅读量2.3k 收藏 12
点赞数 5
文章标签: maven java 安全
于 2023-04-10 10:52:23 首次发布
wangjw.bug
本文链接:https://blog.csdn.net/weixin_44054222/article/details/130017194
版权

问题描述

在项目交付后往往会遇到第三方检测机构或者公司内部在交付之前进行的系统安全漏洞检测,本文章记录一次springboot maven项目的漏洞排查修复过程。

过程记录:

在这里插入图片描述

大概意思就是commons-beanutils包在1.3.10-1.9.2期间的版本存在此漏洞,攻击者可以“操纵”ClassLoader并通过class参数执行任意代码。

  • 排查思路
    1.检索项目pom文件是否直接引用了commons-beanutils相关依赖

    • 解决方案:请升级到漏洞版本范围外的版本

    2.查看maven的依赖树,确定是否有其他jar包引用了涉及漏洞的jar包,如果有项目中使用的其他jar包(例a.jar)引用了涉及漏洞的jar包(例b.jar)

    • 问题场景1:若a.jar在新版本中引用了b.jar的漏洞以外的版本,则只需升级a.jar
    • 问题场景2:若a.jar在新版本中还是引用了b.jar的漏洞,则先需要排除a.jar对b.jar的引用,再单独引用b.jar的漏洞以外版本

  • 排查过程记录

    1.pom文件搜索commons-beanutils

    在这里插入图片描述

    可以看到并没有在我的项目pom文件中找到commons-beanutils的直接引用,说明是有项目中用到的其他jar包间接引用了commons-beanutils包。

    2.打开命令窗口,查看依赖树,输入mvn dependency:tree 回车,会列出所有引用jar包的依赖关系

    在这里插入图片描述

    3.搜索commons-beanutils,可以看出使用的net.sf.json包间接引用了commons-beanutils:jar:1.8.0,在1.3.10-1.9.2漏洞版本范围内

    在这里插入图片描述

    4.在maven仓库搜索net.sf.json 附网站地址:https://mvnrepository.com/

    在这里插入图片描述

    5.点击进入,可以看出新版本已经是2.4了

    在这里插入图片描述

    6.点击2.4版本,查看Vulnerabilities项列表,列出了当前版本存在的未修复漏洞,发现CVE-2014-0114漏洞还是在当前版本中存在的

    在这里插入图片描述

    7.继续再搜索commons-beanutils,可以看出1.9.4版本中已经不存在CVE-2014-0114漏洞了

    在这里插入图片描述

  • 解决方案
    从以上分析过程中可以得出结论,我们不能通过升级net.sf.json版本来避免CVE-2014-0114漏洞,因为net.sf.json的新版本2.4还是引用了commons-beanutils:jar:1.8.0,在1.3.10-1.9.2漏洞版本范围内,符合前边梳理的场景2
    在这里插入图片描述

    1.首先在pom文件中net.sf.json的引用处排除对commons-beanutils的间接引用

    在这里插入图片描述

    2.单独直接引用commons-beanutils漏洞外的版本

    在这里插入图片描述

    3.刷新maven项目,重新查看依赖树,只检索到了我们单独引用的commons-beanutils的1.9.4版本

    在这里插入图片描述

结语

以上就是楼主在实际开发中遇到的漏洞排查修复过程,希望可以帮到你~

wangjw.bug
关注
  • 5
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用DependencyCheck工具检测JAR依赖包的安全漏洞
晓郎编程
05-04 1466
Dependency-Check 是一款开源工具,用于检测软件项目中第三方库和组件的安全漏洞。通过分析项目依赖关系,它与已知漏洞数据库比对,发现存在漏洞的依赖项,并提供修复建议,帮助团队及时解决安全风险,提升软件安全性。
spring综合性利用工具-SpringBoot-Scan(一)
siu~
08-14 3576
针对SpringBoot的开源渗透框架,以及Spring相关高危漏洞利用工具。
Java Web项目依赖漏洞修复实战指南
最新发布
lvjingang的博客
05-30 747
依赖漏洞管理是Java Web开发中的重要环节,它要求开发者具备一定的安全意识,采取主动防御措施。通过综合运用工具、策略和最佳实践,可以显著降低应用受到攻击的风险。记住,安全不是一劳永逸的,而是一个持续的过程,需要团队成员共同努力,不断学习和适应新的安全挑战。
Jakarta Commons——Digester
dananhai381的专栏
02-21 632
主要用于由xml生成java对象。基本原理是:使用pattern匹配特定的节点,构造对象,并执行rule定义的操作。 Pattern使用xpath匹配节点,是从根目录开始,只有一个例外:*/name will match a element anywhere in the document. 使用步骤 1)创建digester的实例;2)config it ; 3) 指定pattern和r
[Vulhub] Weblogic SSRF 漏洞CVE-2014-4210)
weixin_45605352的博客
07-21 5491
0x00 预备知识 01 SSRF概念: SSRF(服务端请求伪造),指的是攻击者在未能取得服务器所有权限时,利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。 简单的说就是利用一个可发起网络请求的服务当作跳板来攻击其他服务 02 SSRF原理 SSRF的实质是利用存在缺陷的web应用作为代理攻击远程和本地的服务器。一般情况下, SSRF攻击的目标是外网无法访问的内部系统,黑客可以利用SSRF漏洞获取内部系统的一些信息(正是因为它是由服务端
Springboot之Actuator的渗透测试和漏洞修复
u010797364的博客
12-18 8579
Actuator 的 REST 接口Actuator监控分成两类:原生端点和用户自定义端点;自定义端点主要是指扩展性,用户可以根据自己的实际应用,定义一些比较关心的指标,在运行期进行监控。原生端点是在应用程序里提供众多 Web 接口,通过它们了解应用程序运行时的内部状况。
spring综合性利用工具-SpringBoot-Scan-GUI(二)
siu~
08-14 1266
开源工具 SpringBoot-Scan 的GUI图形化版本
基于Springbootmaven项目
07-14
Maven是一个Java项目管理工具,它定义了项目的构建过程、依赖关系和项目信息,通过一个统一的POM(Project Object Model)文件进行管理。在本项目中,Maven帮助我们管理各种依赖,如Spring Boot的starter依赖、...
maven springboot项目
04-19
在IT行业中,Spring Boot是一个非常流行的Java框架,用于简化Spring应用程序的开发过程。它通过预配置许多默认设置,使得开发者可以快速地启动一个新的项目。然而,通常我们使用Maven或Gradle作为构建工具来管理...
springboot(web项目,非maven)
09-18
标题中的“springboot(web项目,非maven)”指的是一个基于Spring Boot框架构建的Web应用程序,但它不是使用Maven作为构建工具。Spring Boot简化了Java Web应用的开发过程,提供了快速构建可运行的应用程序的方式,而...
springboot maven引用sqlserver jdbc.txt
12-27
springboot maven引用sqlserver jdbc,亲测可用,从此告别本地手动引入
SpringBoot项目使用maven配置文件
03-31
SpringBoot项目使用maven配置文件是Java后端开发中的常见实践,它可以帮助开发者高效地管理依赖、构建项目以及执行自动化任务。Maven是Apache软件基金会的一个项目,它提供了一个项目对象模型(Project Object Model...
spring相关漏洞利用工具-SpringBootExploit(二)
siu~
08-14 1694
项目是根据LandGrey/SpringBootVulExploit清单编写,目的hvv期间快速利用漏洞、降低漏洞利用门槛。
struts-1.2.9.jar修改包路径、源码编译记录
haohaifeng002的博客
04-10 776
修改目的:struts-1.2.9 有CVE-2014-0114漏洞:http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=commons, 各方面原因替换mvc框架不现实,因此计划维护自己的struts分支修复该漏洞 本次只记录struts-1.2.9源码修改包名包路径过程 升级步骤 1、准备2个包:通过maven获取struts源码包(struts-1...
分享一款spring渗透测试工具-支持springboot敏感路径扫描和spring漏洞扫描
printwsl的博客
10-26 841
SBSCAN是一款专注于spring框架的渗透测试工具,可以对指定站点进行spring boot敏感信息扫描以及进行spring相关漏洞的扫描与验证
maven 漏洞扫描
Fireworks
02-21 822
基于Maven漏洞扫描
dependency-check-maven安全漏洞扫描工具介绍
热门推荐
太空眼睛的专栏
05-03 1万+
目录dependency-check-maven安全漏洞扫描工具介绍dependency-check-maven插件重点参数解析运行命令检查单个maven工程安全漏洞检查多个maven子工程汇总一个报告扫描报告示例 dependency-check-maven安全漏洞扫描工具介绍 dependency-check官网下载地址: https://owasp.org/www-project-dependency-check 这个工具支持多种方式,本文主要介绍使用maven插件的使用方式 dependency-c
Spring Boot Actuator详解与漏洞利用
做自己喜欢的事,并将其发挥到极致!
08-19 6574
由Pivotal团队提供的全新框架,其设计的目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来配置,从而使开发人员不再需要定义样板化的配置。通过这种方式,Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。Actuator是Spring Boot提供的对应用系统的监控和管理。
spring端点扫描工具-SB-Actuator
siu~
08-14 537
Spring Boot Actuator未授权访问【XXE、RCE】单/多目标检测
springboot maven项目
09-01
您好!对于Spring Boot和Maven项目,我可以为您提供一些基本信息。Spring Boot是一个用于创建独立的、基于Spring框架的Java应用程序的框架。Maven是一个项目管理工具,用于构建、部署和管理Java项目。 要创建一个Spring Boot Maven项目,您可以按照以下步骤进行操作: 1. 首先,确保您安装了JavaMaven。您可以从官方网站下载并按照说明安装它们。 2. 打开命令行终端或IDE(例如Eclipse、IntelliJ IDEA等)。 3. 使用Maven的`archetype`命令创建一个新的Spring Boot项目。您可以运行以下命令: ``` mvn archetype:generate -DgroupId=com.example -DartifactId=demo -DarchetypeArtifactId=maven-archetype-quickstart -DinteractiveMode=false ``` 这将创建一个名为"demo"的项目,其中包含基本的Maven目录结构和文件。 4. 进入新创建的项目目录:`cd demo` 5. 打开`pom.xml`文件,并添加Spring Boot相关的依赖项。您可以根据您的需求添加不同的依赖项,例如Spring Boot Web、Spring Data JPA等。这些依赖项可以在Spring官方文档中找到。 6. 创建一个`Main`类作为您的应用程序的入口点。该类应该位于`src/main/java/com/example/demo`目录下。您可以在该类中添加`@SpringBootApplication`注解来启用Spring Boot的自动配置。 7. 开始开发您的Spring Boot应用程序!您可以创建控制器、服务、实体等。 8. 构建和运行项目。在命令行终端中,使用以下命令构建项目:`mvn clean install`,然后使用`java -jar target/demo.jar`命令运行项目。 这只是一个简单的示例,希望对您有所帮助!如果您有任何进一步的问题,请随时问我。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值