记录一次Spring Framework 漏洞修复的过程

最新推荐文章于 2025-08-26 18:34:07 发布
最新推荐文章于 2025-08-26 18:34:07 发布
阅读量334 收藏
点赞数 5
CC 4.0 BY-SA版权
分类专栏: 架构专题 文章标签: spring 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiao_zg/article/details/150519976

一.背景

1.项目

spring-boot.2.6.13

2.漏洞报告平台

阿里云ecs

一个springboot的项目,当部署到阿里云平台之后,开启漏洞扫描,发现有应用漏洞提示

具体的漏洞为:Spring Framework 特定条件下目录遍历漏洞(CVE-2024-38819)

二.目标

解决该漏洞,不再报告安全提示

三.操作规划

1.首先确定漏洞的具体原因

2.确定漏洞修复的具体操作步骤

3.验证漏洞不再存在,阿里云不再提示,则为漏洞修复成功

四.确定漏洞具体原因

1.分析漏洞

CVE-2024-38819 是 Spring Framework 中的一个目录遍历漏洞。该漏洞允许攻击者通过精心构造的请求访问受限的文件或目录,甚至可能访问到敏感数据(如配置文件、源代码或凭据)。这个漏洞通常利用文件路径验证机制的缺陷,以绕过访问限制。

2.找到官方漏洞描述

具体连接:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Spring Cloud助力后端领域的微服务安全漏洞修复
架构师的AI之路,分享AI应用开发架构的学习与实践。
07-18 650
目的:解决微服务架构下的三大核心安全问题——服务间未授权访问敏感配置泄漏熔断机制失效,并教你用Spring Cloud生态组件(Gateway、Config、Sentinel等)快速修复这些漏洞。范围:覆盖后端微服务开发中的“安全防护”场景,不涉及前端安全(如XSS、CSRF)或网络层安全(如SSL)。门口的问题:用“商场被偷”的故事引出微服务的安全痛点;保安的作用:用API网关解决“未授权访问”漏洞;中控室的秘密:用配置中心解决“敏感配置泄漏”漏洞;保险丝的智慧:用熔断机制解决“服务雪崩”漏洞
Java领域Spring Cloud的安全漏洞修复与防范
Java大师兄的博客
04-28 1030
Spring Cloud作为Java领域中用于构建分布式系统的强大框架,为开发者提供了一系列丰富的功能和组件。然而,随着其广泛应用,安全问题也逐渐凸显。本文的目的在于系统地研究Spring Cloud可能存在的安全漏洞,介绍修复这些漏洞的具体方法,并给出相应的防范措施,以帮助开发者构建安全可靠的Spring Cloud应用。本文的范围涵盖了Spring Cloud常见的安全漏洞类型,如远程代码执行、SQL注入、跨站脚本攻击等,以及针对这些漏洞修复和防范方案。
Spring Framework CVE-2022-22965漏洞详细分析
HBohan的博客
04-18 2198
一. 漏洞利用条件 jdk9+ Spring 及其衍生框架 使用tomcat部署spring项目 使用了POJO参数绑定 Spring Framework 5.3.X < 5.3.18 、2.X < 5.2.20 或者其他版本 二. 漏洞分析 一开始复现这个漏洞的时候,听其他师傅说是一个老漏洞CVE-2010-1266的绕过,之前也没调试过这个漏洞,看了些分析文章后,大概明白是对Spring中的bean的漏洞利用,通过API Introspector. getBeanInfo 可以获取到PO
安全修复之Web——Spring Framework 远程代码执行漏洞
CN華少的博客
05-21 469
安全修复之Web——Spring Framework 远程代码执行漏洞 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 语言:Java...
CVE-2022-22965:Spring Framework远程代码执行漏洞
qq_50854662的博客
11-12 4371
CVE-2022-22965:Spring Framework远程代码执行漏洞
Spring Framework JDK >= 9 远程代码执行漏洞(CVE-2022-22965)
热门推荐
Flag少侠的博客
07-15 1万+
打开靶场什么都没有网上查找到了 Poctry:print(e)passExploit(i)main()requests: 用于发送HTTP请求。argparse: 用于解析命令行参数。urljoin: 用于将基础URL与相对路径组合成一个完整的URL。headers: 设置HTTP请求头。suffix: 指定生成的JSP文件的结束标记。c1和c2: 替换变量,用于在请求数据中插入Runtime和
Spring Framework 历史漏洞研究
有价值炮灰
04-23 793
本文的主要目标是分析、总结、归纳历史上出现过的 Spring 框架漏洞,从而尝试找出其中的潜在模式,以达到温故知新的目的。当然作为一个 Java 新手,在直接分析漏洞之前,还是会先从开发者的角度去学习 Spring 中的一些核心概念,从而为后续的理解奠定基础。
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
10-27
1. 尽快更新:官方发布补丁后,应立即更新到最新版本的Spring Framework,以修复漏洞。 2. 审查代码:检查应用程序中的所有用户输入,确保没有直接传递给不受信任的系统调用或方法。 3. 使用安全配置:限制应用...
SpringBoot3集成Oauth2.1——8自定义认证模式(密码模式)
歪桃的博客
08-22 972
由于早些年,我们使用的oauth版本是:spring-cloud-starter-oauth2,针对该版本的Oauth2升级, 从SpringBoot2.1-》2.2-》2.3-》2.4-》2.5-》2.6-》2.7一路是荆棘之路。 以下版本为:SpringBoot2.7.11的时候部分代码,基本上来说,几乎百分之95以上代码都过时了。 但是最为恐怖的存在是:我在里面扩展了很多的认证方式,比如手机验证、指纹验证、用户证书验证等等等。而这些扩展的认证方式的代码,都是参照密码模式来实现的。当然如果从头看我博客
Spring Ai Alibabba快速入门
qq_62558682的博客
08-26 416
介绍 Spring AI Alibaba实战| ProcessOn免费在线作图,在线流程图,在线思维导图Spring AI: 是 Spring 官方推出的一个框架,旨在简化 Java 开发者构建 AI 应用的流程。Spring AIAlibaba:是基于 SpringAI 构建的框架,专注于与阿里云生态的深度集成,适合国内开发者,尤其是需要快速接入阿里云 AI 能力的场景;LangChain4j:LangChain项目的 Java 移植版本,专注于构建多模态、多参与者的 AI 应用.适合需要构建复杂 AI
Spring 中 @Import 注解:Bean 注入的灵活利器
CSDN_xysf的博客
08-22 892
用法特点典型应用导入普通类简单直接,适合快速注册整合第三方类导入配置类批量注册,适合模块化配置配置类拆分与组合导入 ImportSelector 实现类动态选择,合适条件注册Spring Boot 自动配置导入 ImportBeanDefinitionRegistrar 实现类编程控制,适合复杂注册逻辑自定义注解驱动开发@Import 注解作为 Spring 中灵活的 Bean 注册工具,提供了从简单到复杂的多种 Bean 导入方式。
统一身份认证与权限管理(简化版Spring Boot + Spring Security + JWT项目应用)
usa_washington的博客
08-26 541
统一身份认证和权限管理
苍穹外卖-Day3 | 公共字段自动填充、SpringAOP、阿里云OSS、菜品接口
2301_80082921的博客
08-26 859
枚举是 Java 中一种特殊的数据类型,用于定义。
SSM从入门到实战:3.2 SpringMVC请求处理与控制器
08-25 569
SpringMVC请求处理与控制器摘要 本文深入讲解SpringMVC核心请求处理流程和控制器使用技巧,主要内容包括: 请求处理流程:详细解析从客户端请求到视图渲染的完整流程,包含DispatcherServlet、HandlerMapping等组件协作过程 控制器映射: 演示@RequestMapping基础用法 推荐使用@GetMapping等组合注解 展示多URL、参数条件、请求头条件等高级映射方式 参数绑定: 基本类型自动绑定 @RequestParam注解使用技巧 数组/集合参数处理 日期等特殊类
第六节 Spring Bean 生命周期
2401_89610374的博客
08-23 1023
第六节 Spring Bean 生命周期
SpringBoot 应用升级 GraalVM 踩坑
laomei
08-26 961
我们不再具体介绍GraalVM,直接介绍改造过程。项目使用Spring Boot 2.0.8,使用了Eureka、Mybatis、TKMyBatis、MySQL结论:Spring Boot 官方在3.x版本对于GraalVM做了很多的工作,兼容性较好。但是一旦引入了MyBatis以及TKMyBatis 后,各种问题。
Spring】SSM框架【一】——Spring超详细
amazing2024的博客
08-25 869
SSM框架详细之——【Spring】主要介绍Spring中IoC、AOP、bean的生命周期等
JCTools 并发无锁链表队列 LinkedQueue
lifallen的博客
08-22 698
JCTools中BaseLinkedQueue是高性能无锁并发队列的基础设计,通过缓存行填充解决伪共享问题,采用哨兵节点简化算法。其核心是为单消费者场景优化,通过非原子操作更新队头指针以提升性能,但因此不支持多消费者。SpscLinkedQueue在此基础上进一步优化单生产者场景,用普通读写替代原子操作。该设计体现了高性能并发编程的权衡艺术,通过约束使用场景换取极致性能,是JCTools的核心设计哲学。
springboot启动的时候,只打印logo,不打印其他的任何日志的原因
最新发布
qq_21451945的博客
08-26 251
spring boot启动问题
Spring Security 漏洞修复 (CVE-2024-22257)
08-06
### 漏洞描述 CVE-2024-22257 是一个与 Spring Security 的 `AuthenticatedVoter` 相关的错误访问控制漏洞。该漏洞影响以下版本的 Spring Security: - 6.2.0 <= Spring Security <= 6.2.2 - 6.1.0 <= Spring Security <= 6.1.7 - 6.0.0 <= Spring Security <= 6.0.9 - 5.8.0 <= Spring Security <= 5.8.10 - 5.7.0 <= Spring Security <= 5.7.11 此漏洞可能导致未经授权的用户通过构造特定请求绕过访问控制,从而访问受保护的资源或执行未授权的操作。 ### 漏洞修复方法 针对 CVE-2024-22257 的修复方法主要集中在更新 Spring Security 到官方发布的安全版本。以下是受影响版本的修复建议: - **Spring Security 6.2.x**:升级到 6.2.3 或更高版本。 - **Spring Security 6.1.x**:升级到 6.1.8 或更高版本。 - **Spring Security 6.0.x**:升级到 6.0.10 或更高版本。 - **Spring Security 5.8.x**:升级到 5.8.11 或更高版本。 - **Spring Security 5.7.x**:升级到 5.7.12 或更高版本。 ### 安全更新建议 为了确保应用程序的安全性,建议采取以下措施: 1. **立即升级 Spring Security**:根据当前使用的 Spring Security 版本,升级到官方发布的修复版本。 2. **检查依赖项**:使用工具如 `mvn dependency:tree`(Maven)或 `gradle dependencies`(Gradle)来检查项目中的所有依赖项,确保没有使用到受影响的 Spring Security 版本。 3. **代码审查**:审查应用程序中与安全相关的配置,特别是涉及 `AuthenticatedVoter` 的部分,确保没有潜在的访问控制漏洞。 4. **测试环境验证**:在升级后,使用测试环境验证应用程序的功能和安全性,确保升级不会影响现有功能。 5. **监控与日志**:启用详细的日志记录和监控功能,以便及时发现并响应任何潜在的安全事件。 ### 示例代码 以下是一个简单的 Spring Security 配置示例,展示了如何启用基本的安全性: ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.web.SecurityFilterChain; @Configuration @EnableWebSecurity public class SecurityConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeRequests() .anyRequest().authenticated() .and() .formLogin() .and() .httpBasic(); return http.build(); } } ``` ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

水上冰石

希望能帮助到你

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值