MetInfo漏洞修复

springcloud actuator暴露端点漏洞修复

前段时间网络安全的同事突然通知系统漏洞,swagger漏洞和暴露多余端点等,可能会泄露信息。刚开始只是修改了相关配置。如下:更改config配置management:security:enabled:truesecurity:user:name:xxxpassword:xxxbasic:enabled:trueendpoints:enabled:falseactuator:enabled:true
Q_Gavin_Qin·2023-08-19 06:54

升级了OpenSSL后仍被扫描报存在漏洞的解决方案

安全漏洞修复-cve-2022-0778需要升级到openssl-1.1.1p。几个CentOS服务器编译安装以后,腾讯云安全扫描依旧提示漏洞存在。
乐大师·2023-08-18 22:41

WEB安全漏洞扫描与处理(下)——安全报告分析和漏洞处理

目录1AppScan生成的安全报告分析2漏洞的处理3漏洞修复案例4结语1AppScan生成的安全报告分析利用AppScan生成安全报告,可以提前对要生成的安全报告的内容进行选择,如下图,最全的安全报告内容
cooldream2009·2023-08-18 18:08

Log4j2 - JNDI 注入漏洞复现(CVE-2021-44228)

文章目录ApacheLog4j简介漏洞介绍影响版本漏洞编号影响组件应用环境准备靶场搭建漏洞利用利用工具使用方式反弹shell操作漏洞修复建议ApacheLog4j简介Apachelog4j是Apache
渗透测试小白·2023-08-18 14:09

ThinkPHP5 SQL注入(select方法)

ThinkPHP5SQL注入(select方法)漏洞概要初始配置漏洞利用漏洞分析漏洞修复攻击总结漏洞概要本次漏洞存在于Mysql类的parseWhereItem方法中,由于程序没有对数据进行很好的过滤,
H3rmesk1t·2023-08-17 14:47

ThinkPHP5.1.x SQL注入(orderby注入)

ThinkPHP5.1.xSQL注入(orderby注入)漏洞概要初始配置漏洞利用漏洞分析漏洞修复攻击总结漏洞概要本次漏洞存在于Builder类的parseOrder方法中,由于程序没有对数据进行很好的过滤
H3rmesk1t·2023-08-17 14:47

ThinkPHP5.1.x SQL注入(update方法)

ThinkPHP5SQL注入(update方法)漏洞概要初始配置漏洞利用漏洞分析漏洞修复攻击总结漏洞概要本次漏洞存在于Mysql类的parseArrayData方法中,由于程序没有对数据进行很好的过滤,
H3rmesk1t·2023-08-17 14:17

Java中SpringBoot中Actuator漏洞修复

Java中SpringBoot中Actuator漏洞修复风险分析:风险分析:Actuator是SpringBoot提供的服务监控和管理中间件。
Java小白笔记·2023-08-17 05:52

漏洞修复通知】修复 Apache Shiro 认证绕过漏洞,漏洞编号:CVE-2023-34478,漏洞危害等级:高危

2023年7月24日,ApacheShiro发布更新版本,修复了一个身份验证绕过漏洞,漏洞编号:CVE-2023-34478,漏洞危害等级:高危。ApacheShiro版本1.12.0之前和2.0.0-alpha-3之前容易受到路径遍历攻击,当与基于非规范化请求路由请求的API或其他web框架一起使用时,可能导致身份验证绕过。JeecgBoot官方已修复,建议大家尽快升级至ApacheShiro1
·2023-08-15 20:39

漏洞修复通知】修复Apache Shiro认证绕过漏洞

近日,Apache官方发布了安全公告,存在ApacheShiro身份认证绕过漏洞,漏洞编号CVE-2022-32532。JeecgBoot官方已修复,建议大家尽快升级至ApacheShiro1.9.1版本。漏洞描述ApacheShiro中使用RegexRequestMatcher进行权限配置,并且正则表达式中携带"."时,可通过绕过身份认证,导致身份权限验证失效。影响范围ApacheShiro<1
·2023-08-15 20:02

JeecgBoot 2.x版本SQL漏洞补丁发布——响应零日漏洞修复计划

漏洞编码:HW21-0499产品名字:JeecgBoot低代码平台问题:JEECG系统存在SQL注入0day漏洞处理情况:已经处理处理方案:针对存在SQL漏洞注入风险的接口,采用加签名认证的方式进行安全验证。加签规则逻辑:接口参数+自定义密钥串(正式发布自行修改)+年月日时分秒时间戳。补丁包下载:https://pan.baidu.com/s/10SgP...提取码:cy2q
·2023-08-15 20:28

CDP集群漏洞修复脚本

CDP集群漏洞修复脚本(范例)#!/bin/bash#日志路径log_path='/ciblog/cdp_BugFix_log'if[!
岁月的眸·2023-08-15 18:10

阿里云linux系统漏洞修复

CVE-2018-25032:zlib缓冲区错误漏洞(CVE-2018-25032)https://www.itbiancheng.com/article/5600.htmlyumupdatezlib-yRHSA-2022:0064:openssl安全更新https://www.itbiancheng.com/article/5569.htmlyum-yupdateopensslRHEA-2019
陆先生。·2023-08-15 07:54

NFS高版本漏洞修复方法

Centos8NFS漏洞修复由于centos8后,nfs相关的配置发送了变化,无法固定端口方式来做防火墙,由于一般导致漏洞的原因主要是由于showmount-e,所以我们这里采取的方式是nfsserver
旺仔_牛奶·2023-08-15 03:59

IoT 物联网安全事件的持续检测和监控解决方案

对于IoT物联网安全事件的持续检测和监控,可以采用以下解决方案:设备管理和漏洞修复:确保设备的固件和软件及时更新,并修补已知的漏洞。建立一个设备清单,并定期审查和更新其中的设备。
SafePloy安策·2023-08-14 14:41

AppScan Unix 文件参数变更漏洞修复

原因:未对用户输入正确执行危险字符清理未检查用户输入中是否包含“…”(两个点)字符串,比如url为/login?action=…/webapps/RTJEKSWTN26635&type=randomCodecookie为Cookie:JSESSIONID=…/webapps/RTJEKSWTN26241;测试返回为200使用AppScan扫描之后可以通过这样的方式进行指定问题手动测试解决办法:使用
huan1213858·2023-08-13 00:45

MongoDB数据库未授权访问漏洞

为保证您的业务和应用的安全,提供以下漏洞修复指导方案,
技术流刘·2023-08-10 18:22

数据库安全防护方案

文章目录1.访问控制2.参数化查询3.密码安全4.数据备份和恢复5.网络安全6.日志监控7.定期更新和漏洞修复1.访问控制确保只有授权用户可以访问数据库。
儿时可乖了·2023-08-10 16:44

RuoYi-Vue代码常见漏洞修复

Redis未设置密码解决方法:此方法永久生效*找到requirepass关键字,后面就是跟的密码,默认情况下是注释掉的,即默认不需要密码,如下:打开注释,设置为自己的密码,重启即可数据库密码明文获取公钥、密钥、加密密码java-cpdruid-1.2.15.jarcom.alibaba.druid.filter.config.ConfigToolsXXXXXX(数据库明文密码获得公钥,秘钥,以及加
你邻座的怪同学·2023-08-10 09:58

【CVE-2021-4043】Linux本地提权漏洞复现

实验步骤文章目录实验步骤CVE-2021-4043Linux本地提权漏洞实验背景实验环境漏洞复现构造payload用gcc编译后上传到阿里云执行payload漏洞修复CVE-2021-4043Linux
geekrabbit·2023-08-10 06:08

Springboot之Actuator的渗透测试和漏洞修复

Actuator的REST接口Actuator监控分成两类:原生端点和用户自定义端点;自定义端点主要是指扩展性,用户可以根据自己的实际应用,定义一些比较关心的指标,在运行期进行监控。原生端点是在应用程序里提供众多Web接口,通过它们了解应用程序运行时的内部状况。原生端点又可以分成三类:1.应用配置类:可以查看应用在运行期的静态信息:例如自动配置信息、加载的springbean信息、yml文件配置信
_不吃猫的鱼_·2023-08-08 23:32

Thinkphp 5.0.24反序列化漏洞修复方案

Thinkphp5.0.24存在反序化漏洞,入口点在thinkphp/library/think/process/pipes/Windows.php中__destruct魔术方法。网上有很多讲解如何利用这个漏洞进行攻击,百度Thinkphp5.0.24反序化漏洞会出来一堆。但是如何修复这个漏洞没有讲解,我去Thinkphp官网上也没有查到,我的建议一个是升级Thinkphp版本。下面是我的修复方案
glfxml·2023-08-05 16:11

【安全测试】Web应用安全之XSS跨站脚本攻击漏洞

目录前言XSS概念及分类反射型XSS(非持久性XSS)存储型XSS(持久型XSS)如何测试XSS漏洞方法一:方法二:XSS漏洞修复原则:不相信客户输入的数据处理建议资料获取方法前言以前都只是在各类文档中见到过
bug捕手·2023-08-05 13:22

3389(RDP)CVE-2019-0708 漏洞复现

目录漏洞概述影响版本环境搭建和漏洞复现检测方法1:检测方法2:漏洞利用方法1:可导致目标系统蓝屏漏洞利用方法2:可导致目标系统蓝屏漏洞修复漏洞概述CVE-2019-0708是微软于2019年05月14日发布的一个严重的
pikeboom·2023-08-05 13:48

Spring Boot Actuator未授权访问漏洞和Apache Druid 漏洞修复

SpringBootActuator未授权访问漏洞详细描述Actuator是springboot提供的用来对应用系统进行自省和监控的功能模块,借助于Actuator开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在Actuator启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息。解决办法1.配置认证在项目的pom.
songsshao·2023-08-04 08:20

安全漏洞修复

对于项目漏洞都是一堆又不重要又很重要的事情一、修复HTTP响应头缺失NginxTomcat响应头:值二、会话Cookie中缺少secure属性三、Htmlform表单没有CSRF防护Security的示例Shiro的示例四、Host头攻击NginxTomcatApache五、开启options方法一、修复HTTP响应头缺失Nginxnginx.conf配置文件中location/{add_head
爱机车的程序猿·2023-08-04 08:37

MetInfo 注入

发布时间:2016-11-25公开时间:N/A漏洞类型:sql注入危害等级:高漏洞编号:xianzhi-2016-11-61726270测试版本:N/A漏洞详情app/system/include/compatible/metv5_top.php行27$PHP_SELF=$_SERVER['PHP_SELF']?$_SERVER['PHP_SELF']:$_SERVER['SCRIPT_NAME'
索马里的乌贼·2023-08-04 04:18

漏洞复现(二):HTTP.SYS远程代码执行漏洞(MS15-034)

目录漏洞介绍影响范围漏洞危害漏洞复现环境配置漏洞验证漏洞利用漏洞修复临时补丁漏洞总结漏洞介绍漏洞编号:CVE-2015-1635(MS15-034)远程执行代码漏洞存在于HTTP协议堆栈(HTTP.sys
源十三·2023-07-30 17:52

Padding Oracle Attack(填充提示攻击)详解及验证

定级为Critical,是利用PaddingOracleVulnerability破解rememberMeCookie,达到反序列化漏洞的利用,攻击者无需知道rememberMe的加密密钥(绕过之前的漏洞修复
ShadowHorse·2023-07-30 14:24

Linux近两年高危漏洞修复过程记录

一、背景2023年8月份,面对即将到来的“大运会”、“亚运会”,今年的例行安全护网阶段也将迎来新的挑战和时刻,为此相关部门发布了国家级实战攻防演练已进入紧急「备战」时刻!这里我们主要说一下LinuxOS层面的漏洞处理,涉及到升级系统内核,特此记录,以备参考追溯。Linux内核源码目录被默认放置在“/usr/src/linux”目录中。此目录通常被称为“Linux源代码树”。该目录包含了Linux内
羌俊恩·2023-07-29 09:13

关于信息安全漏洞修复的重要知识

2022年,我们撰写了一份关于如何在任何IT基础架构中组织漏洞管理的说明,并介绍了如何建立漏洞管理流程和正确确定漏洞修复的优先级。现在是了解俄罗斯企业如何有效处理漏
ptsecurity·2023-07-27 15:31

Nacos安全漏洞修复方案:保护您的应用服务

尊敬的家人们,大家好!在过去的几年中,Nacos作为阿里巴巴推出的一项开源项目,为云原生应用的构建和管理提供了许多便利。然而,最近发现了一个安全漏洞,该漏洞可能导致未经授权的用户获取到敏感信息。为了确保您的应用程序的安全性,我们将在本文中向您介绍修复Nacos漏洞的方案CVE编号CVE-2021-29441漏洞类型远程数据修改漏洞描述Nacos是阿里巴巴推出来的一个开源项目,这是一个更易于构建云原
修己xj·2023-07-26 10:12

java代码审计和安全漏洞修复

java代码审计和安全漏洞修复本文目录java代码审计和安全漏洞修复开源:奇安信代码卫士官网使用gitee服务使用非开源:思客云找八哥错误类型以及修改方法1.硬编码2.路径操作3.路径操作-Zip文件条目覆盖
anjushi_·2023-07-25 15:25

【信仰充值中心】Pale Moon 29 正式版更新日志

标DiD(Defense-in-Depth)的要点,是预防针式的漏洞修复,避免以后可能出现的问题,参考原文。palemoon_头图.jpgv29.4.4(2022-01-18)这是一次安全更新。
布客飞龙·2023-07-24 07:41

Log4j 漏洞修复和临时补救方法

1.2漏洞评级及影响版本ApacheLog4j远程代码执行漏洞严重影响的版本范围:ApacheLog4j2.xorg.apache.logging.log4jlog4j-api2.14.0org.apache.logging.log4jlog4j-core2.14.0编写log4j2配置文件%d{yyyy-MM-ddHH:mm:ss,SSS}%5p%c{1}:%L-%m%n/data/logs/d
IT祖师爷·2023-07-21 10:40

漏洞修复】node-exporter被检测出来pprof调试信息泄露漏洞

node-exporter被检测出来pprof调试信息泄露漏洞说在前面解决方法结语说在前面惯例开篇吐槽,有些二五仔习惯搞点自研的安全扫描工具,然后加点DIY元素,他也不管扫的准不准,就要给你报个高中危的漏洞,然后就要去修复,这次遇到个其他的就是node-exporter默认引入了pprof做一些性能指标的采集,然后二五仔的漏洞扫描工具就给你扫出来这么一条奇葩漏洞:先不说处理方法,去github看了
Meepoljd·2023-07-19 17:12

漏洞修复】node-exporter被检测/debug/vars泄漏信息漏洞

node-exporter被检测/debug/vars泄漏信息漏洞漏洞说明修复方法漏洞说明和之前的pprof类似,都是国产的安全工具扫出来的莫名其妙的东西,这次也是报的node-exporter存在这个漏洞,又归我处理。当访问node-exporter的/debug/vars路由时能获取程序的部分运行时信息,如下:这是因为在代码中导入了expvar包,只要导入了这个包就会自动的产生一个/debug
Meepoljd·2023-07-19 17:12

【Ambari】用Python写一个Ambari的运维工具(一)

用Python写一个Ambari的运维工具(一)前言正文准备工作功能拆解库的使用写代码咯配置文件加载建立交互终端好看的欢迎信息建立连接连接校验保存必要信息Show命令小结前言前端时间忙完了安全漏洞修复相关的工作后可算是闲下来一些了
Meepoljd·2023-07-19 17:41

常见网络安全设备:漏洞扫描设备

同时可以对漏洞修复情况进行监督并自动定时对漏洞进行审计提高漏洞修复效率。1、定期的网络安全自我检测、评估安全检测可帮助
网络安全小肖·2023-07-18 15:11

漏洞修复:IIS短文件名泄露漏洞(OPTIONS)

**漏洞描述:**InternetInformationServices(IIS,互联网信息服务)是由微软公司提供的基于运行MicrosoftWindows的互联网基本服务。MicrosoftIIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。**风险级别:**高风险**解决办法:**三种修复方案只有第二和第三种能彻底修复该问题,可以联系空间提供商协助修改.方案1.修改
刘梦凡呀·2023-07-18 03:51

【Nacos】Nacos 2.2.4支持pg数据库适配改造

Nacos2.2.4支持postgresql数据库本文基源码:扩展插件包网上资料都有,还是个人爬坑补充异常处理记录,以便后续升级改造有漏洞修复下载源码https://github.com/alibaba
掘金者说·2023-07-16 16:43

【CVE-2017-5645】Apache Log4j Server 反序列化命令执行漏洞

目录实验目的技能增长预备知识基础知识ApacheApacheLog4jDockerDocker容器与虚拟化的区别漏洞描述漏洞危害漏洞影响版本漏洞利用条件实验环境攻击机目标机环境搭建漏洞验证漏洞分析漏洞修复实验目的复现并分析
晓风残月sk·2023-07-16 01:52

centos7服务器升级ssh版本&&修复ssh漏洞 CVE-2016-20012、 CVE-2021-41617

centos7服务器升级ssh版本&&修复ssh漏洞CVE-2016-20012、CVE-2021-41617ssh漏洞修复流程:(升级版本)查看当前版本ssh-V查看运行状态/重启systemctlstatus
小爽帅到拖网速·2023-07-15 23:35

Gitlab服务器切换来版本升级,执行漏洞修复

方案:1.背景由于GitLab13.5.5存在严重漏洞(CVE-2022-2884),现在需要升级到安全版本,但是现在服务器(正在使用的,以后都称老服务器)系统是redhat6,已不支持要升级到的版本,只能新建服务器重新安装GitLab,再按从小到大的版本依次升级。注意:高版本的Gitlab无法导入低版本备份的数据,因此需要在新服务器部署安装和老服务器一样版本的gitlab,部署好环境后开始备份和
2015起始·2023-07-15 23:53

OpenSSH 用户枚举漏洞(CVE-2018-15473) 漏洞修复

OpenSSH用户枚举漏洞(CVE-2018-15473)漏洞修复1漏洞说明2漏洞修复3相关问题1漏洞说明2漏洞修复查看当前openssh版本:[root@izr0a05u4qferpr7yfhtotz
LOOPY_Y·2023-07-15 05:38

Nacos认证绕过漏洞修复

Nacos认证绕过漏洞修复1漏洞描述及复现1.1漏洞描述1.2漏洞复现2漏洞修复3修复后验证1漏洞描述及复现1.1漏洞描述Nacos官方在github发布的issue中披露AlibabaNacos存在一个由于不当处理
LOOPY_Y·2023-07-15 05:08

出海企业系列风险分析--App出海注意事项

生意红红火火,却遇到了这样的问题,导致业务停滞、用户投诉不断…国内外App上架其实整体上并没有什么不同,都需要会面临以下攻击:因此,都需要去注意:安全认证和加密安全审查和测试3反病毒和恶意软件防护安全更新和漏洞修复社交工程和钓鱼
泌冲·2023-07-15 00:49

nginx漏洞修复之检测到目标URL存在http host头攻击漏洞

漏洞说明为了方便的获得网站域名,开发人员一般依赖于HTTPHostheader。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对hostheader值进行处理,就有可能造成恶意代码的传入。解决方法绿盟建议:web应用程序应该使用SERVER_NAME而不是hostheader。在Apache和Nginx里可以通过设置一个虚拟机来记录所
早九晚十二·2023-07-14 21:01

PCL学习笔记(三十二)-- 基于多项式平滑点云及法线估计的曲面重建

这些不规则很难用统计分析消除,所以为了建立完整的模型必须对表面进行平滑处理和漏洞修复
看到我请叫我学C++·2023-07-13 20:10

55 KVM工具使用指南-LibcarePlus概述

热补丁可以应用于CVE漏洞修复,也可以应用于不中断应用服务的紧急bug修复。55.2软硬件要求在openE
superman超哥·2023-06-23 16:02
上一页 2 3 4 5 6 7 8 9 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他