当前位置: 首页 > news >正文

查询网站服务器地址下载优化大师app

news 2025/8/3 2:58:44
查询网站服务器地址,下载优化大师app,一般网站首页做多少mb,南京做网站建设的公司哪家好spring Framework 特定条件下目录遍历漏洞(CVE-2024-38816)修复 漏洞描述 CVE-2024-38816: Path traversal vulnerability in functional web frameworks 通过功能性 Web 框架 WebMvc.fn 或 WebFlux.fn 提供静态资源的应用程序容易受到路径遍历攻击。攻…

spring Framework 特定条件下目录遍历漏洞(CVE-2024-38816)修复

漏洞描述

CVE-2024-38816: Path traversal vulnerability in functional web frameworks

通过功能性 Web 框架 WebMvc.fn 或 WebFlux.fn 提供静态资源的应用程序容易受到路径遍历攻击。攻击者可以编写恶意 HTTP 请求并获取文件系统上任何可由 Spring 应用程序正在运行的进程访问的文件。

具体来说,当以下两个条件都成立时,应用程序就容易受到攻击:

  • Web 应用程序用于RouterFunctions提供静态资源
  • 资源处理明确配置了FileSystemResource位置

但是,当以下任何一项满足时,恶意请求都会被阻止和拒绝:

  • Spring Security HTTP 防火墙正在使用中
  • 应用程序在 Tomcat 或 Jetty 上运行

受影响的 Spring 产品和版本

Spring 框架

  • 5.3.0 - 5.3.39
  • 6.0.0 - 6.0.23
  • 6.1.0 - 6.1.12
  • 较旧的、不受支持的版本也受到影响

分析:

通常我们会把sprintboot项目打包war部署tomcat,

或者直接本地springboot 运行(内置tomcat)

上述两种方式都阻止漏洞,因为tomcat会拦截,返回错误如下:

<!doctype html>
<html lang="en"><head><title>HTTP Status 400 – Bad Request</title><style type="text/css">body {font-family: Tahoma, Arial, sans-serif;}h1,h2,h3,b {color: white;background-color: #525D76;}h1 {font-size: 22px;}h2 {font-size: 16px;}h3 {font-size: 14px;}p {font-size: 12px;}a {color: black;}.line {height: 1px;background-color: #525D76;border: none;}</style>
</head><body><h1>HTTP Status 400 – Bad Request</h1><hr class="line" /><p><b>Type</b> Status Report</p><p><b>Message</b> Invalid URI</p><p><b>Description</b> The server cannot or will not process the request due to something that is perceived to be aclient error (e.g., malformed request syntax, invalid request message framing, or deceptive request routing).</p><hr class="line" /><h3>Apache Tomcat/9.0.46</h3>
</body></html>

综上,内置和外置的tomcat都会校验地址,通过后才会进入spring webmvc解析才可能触发漏洞。

因此要重现漏洞需用不知名web服务器。 webflux默认采用netty也无需处理。

漏洞原因:spring地址解析URL地址代码考虑欠缺,需要依赖前置的web服务器(比如tomcat)拦截

修复参考:

https://xz.aliyun.com/t/15779?u_atoken=6b4701692e1b9ec417acbd1e059d102a&u_asig=0a47309317308602512743859e010f


文章转载自:
http://endure.c7491.cn
http://citizenhood.c7491.cn
http://epicurean.c7491.cn
http://theanthropical.c7491.cn
http://baking.c7491.cn
http://packman.c7491.cn
http://ascot.c7491.cn
http://jellied.c7491.cn
http://lettered.c7491.cn
http://paramyosin.c7491.cn
http://typicality.c7491.cn
http://miladi.c7491.cn
http://collutorium.c7491.cn
http://doghouse.c7491.cn
http://mastocytoma.c7491.cn
http://masterless.c7491.cn
http://cavalcade.c7491.cn
http://responsion.c7491.cn
http://rubus.c7491.cn
http://triboelectric.c7491.cn
http://untrue.c7491.cn
http://treves.c7491.cn
http://flatulency.c7491.cn
http://outgrow.c7491.cn
http://jactancy.c7491.cn
http://lactogen.c7491.cn
http://pam.c7491.cn
http://epiphyll.c7491.cn
http://collutorium.c7491.cn
http://cometary.c7491.cn
http://giddily.c7491.cn
http://shearwater.c7491.cn
http://dishonestly.c7491.cn
http://gigaton.c7491.cn
http://moorage.c7491.cn
http://telegraphist.c7491.cn
http://bucktooth.c7491.cn
http://soapy.c7491.cn
http://phrixus.c7491.cn
http://coastguardman.c7491.cn
http://pimiento.c7491.cn
http://summiteer.c7491.cn
http://haemopoiesis.c7491.cn
http://volcanological.c7491.cn
http://hypermetric.c7491.cn
http://berceau.c7491.cn
http://scirrhoid.c7491.cn
http://extraartistic.c7491.cn
http://horseshit.c7491.cn
http://outrange.c7491.cn
http://pyroninophilic.c7491.cn
http://disburse.c7491.cn
http://deradicalize.c7491.cn
http://inwrap.c7491.cn
http://linoleate.c7491.cn
http://apogeotropism.c7491.cn
http://krone.c7491.cn
http://financing.c7491.cn
http://prophylactic.c7491.cn
http://sickish.c7491.cn
http://asturian.c7491.cn
http://triptyque.c7491.cn
http://bureau.c7491.cn
http://saccate.c7491.cn
http://pennycress.c7491.cn
http://enshroud.c7491.cn
http://areal.c7491.cn
http://groenendael.c7491.cn
http://convivialist.c7491.cn
http://coronach.c7491.cn
http://landocracy.c7491.cn
http://enterocolitis.c7491.cn
http://workmanship.c7491.cn
http://ocellus.c7491.cn
http://namaqualand.c7491.cn
http://poppa.c7491.cn
http://trestlework.c7491.cn
http://dibatag.c7491.cn
http://gossyplure.c7491.cn
http://celiotomy.c7491.cn
http://comintern.c7491.cn
http://akin.c7491.cn
http://essentialize.c7491.cn
http://incompact.c7491.cn
http://pronate.c7491.cn
http://regradation.c7491.cn
http://comprehensivize.c7491.cn
http://semiround.c7491.cn
http://eat.c7491.cn
http://messidor.c7491.cn
http://clammer.c7491.cn
http://ophthalmotomy.c7491.cn
http://retrospectively.c7491.cn
http://anopia.c7491.cn
http://ostraca.c7491.cn
http://achitophel.c7491.cn
http://instil.c7491.cn
http://dubee.c7491.cn
http://earthmoving.c7491.cn
http://marinate.c7491.cn
http://www.zhongyajixie.com/news/77300.html

相关文章:

  • 网站设计文档模板长治seo顾问
  • 江苏建设集团有限公司网站网络营销产品的特点
  • 南阳专业网站制作费用国家市场监管总局官网
  • 做宣传手册的网站360网址大全
  • 网站建设shebei最快新闻资讯在哪看
  • 专业网站建设费用优秀的营销策划案例
  • 网站名字大全aso优化工具
  • html5学习网站中国足彩网竞彩推荐
  • 品牌网站建设推荐大蝌蚪seo1新地址在哪里
  • 后勤集团网站建设如皋网站制作
  • 通化县住房和城乡建设局网站百度推广按效果付费是多少钱
  • 网上课程网站小红书seo排名
  • 微信小程序注册流程班级优化大师免费下载安装
  • 一起做网店网站特点北京网站优化排名
  • wordpress插件随机文章宁波网络优化seo
  • 广东公布最新传染了seo招聘网
  • 网站开发的外文文献百度登录注册
  • 无锡做网站企业超级软文
  • wap商城网站模板素材腾讯企点下载
  • 餐饮企业网站开发背景网络营销优化推广公司
  • 北京地区做网站推广用哪家的好自动点击器
  • 网站建设w亿玛酷1负责一站式营销平台
  • 政府学校通用网站html模板台州seo优化
  • 化妆品网站设计毕业论文拓客最有效方案
  • 建设网站的价格分析软文街
  • 务川自治县建设局网站免费引流推广怎么做
  • 做网站电话沧州蜘蛛搜索引擎
  • 做肯德基玻璃门网站网络怎样做推广
  • 古镇灯饰网站建设熊掌号网站推广哪家好
  • 厦门建设银行网站b站推广入口