Kaptcha安全漏洞CVE-2018-18531解决方案

最新推荐文章于 2025-03-25 14:11:38 发布
最新推荐文章于 2025-03-25 14:11:38 发布
阅读量8.8k 收藏 8
点赞数 3
分类专栏: 问题解决方案 文章标签: 安全 java jar
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42859690/article/details/122679836
版权

项目登陆验证码采用kaptcha做的,但是在安全漏洞筛查时发现使用的kaptcha-2.3.2版本有CVE-2018-18531漏洞,详情见国家信息安全漏洞库:http://www.cnnvd.org.cn/
在这里插入图片描述
距写此篇文章时,关注了下谷歌方面,尚未有官方发布的解决版本。
在这里插入图片描述
临时更换验证码依赖,代码方面要改一次,测试又要来一次,时间成本巨大。
故根据漏洞信息,准备去github上down下源码,修复漏洞再重新打成jar包引入即可。

按照漏洞信息,将text/impl/DefaultTextCreator.java、text/impl/ChineseTextProducer.java和text/impl/FiveLetterFirstNameTextCreator.java三个文件中的

//漏洞代码
Random rand = new Random();
//===>修改为
Random rand = new SecureRandom();

如果觉得有必要,可以在build.gradle文件中修改对应版本号用于区分
在这里插入图片描述
修改完成后,因kaptcha不是maven而是gradle项目;打包方式大同小异,同样采用jar
在这里插入图片描述
打包完成后,在

最低0.47元/天 解锁文章
引用的三方组件已经升级到最新版本,仍然提醒存在安全风险,如何快速解决—— kaptcha 安全漏洞
OSCS开源安全社区
08-24 1927
kaptcha 是个图形验证码的库,使用该组件的人数也非常多,搜 “spring 验证码”,前几篇文章里面就有人在教如何使用这个组件(2022年的文章),国内 star 比较多的项目同样也在用。该组件风险程度较高,CVSS 评分达9.8,建议使用该组件的项目及研发小伙伴尽快修复该组件。 在找解决方案的时候发现,官方没有发布修复后的版本,最新版本就是2.3.2。近期有很多小伙伴问了个相同的问题:引用的组件已经是最新版本了,检测还是有漏洞,这样的只能换依赖了吗...2、搜索相关漏洞的解决方案​​​​​​​。
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
本篇将详细讨论如何修补OpenSSH中的几个已知漏洞,包括CVE-2020-15778、CVE-2018-15473、CVE-2018-15919。 首先,让我们了解这些特定的漏洞: 1. CVE-2020-15778:这是一个与OpenSSH密钥协商过程相关的漏洞,可能...
Kaptcha验证码半透明背景的实现
weixin_45335489的博客
06-29 6440
Kaptcha验证码半透明背景的实现Kaptchakaptcha选项没有背景透明? Kaptcha库 验证码是有效防止机器尝试的重要手段,Kaptcha是常用的一个库,从其声明看,可能来自google,但因为种种原因,目前依赖更多的是com.gitpuh.penggle.kaptcha,版本为2.3.2,POM中依赖代码 <dependency> <groupId&gt...
Java NoClassDefFoundError 异常及解决方法
最新发布
C_V_Better的博客
03-25 3614
Java 开发中常见但易于预防的问题。通过确保类路径配置正确、依赖库完整、JDK 版本一致,并对动态加载逻辑进行充分测试,可以有效避免该错误。希望本文的分析和解决方案能帮助你快速定位和解决相关问题。
ruoyi验证码kaptcha包高危漏洞
攻城狮的博客
04-08 758
客户现场扫描除了kaptcha生成验证码的高危漏洞,又不想引入其他生成验证码包避免上线麻烦,又要安全检查等扫描,那就最好手撸验证码出来。
【超危漏洞】ruoyi 验证码kaptcha
weixin_43652507的博客
09-10 868
【超危漏洞】ruoyi 框架验证码kaptcha包, 使用自带jdk完成漏洞修复。
maven安装依赖失败的问题:Kaptcha
m0_46198325的博客
06-14 1223
首先我的原意是想从maven仓库中下载一个Kaptcha玩玩,然后去搜索了一些,发现前面最多人使用的验证码居然有依赖漏洞,然后又重新查找了,结果找到一个谷歌出品的验证码框架,但是人家牛逼大气,没有上传到maven的中央仓库,所有通过常规的pom文件导入依赖下载是无法使用的: 代码下载网站 pom文件引用 <!-- https://mvnrepository.com/artifact/com.google.code.kaptcha/kaptcha --> <dependency>
Insecure CAPTCHA漏洞利用以及防御
CH3UHX9
02-28 822
漏洞介绍 CAPTCHA项目是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称,是一种区分用户是计算机和人的公共全自动程序。 使用CAPTCHA可以防止计算机恶意破解密码、刷单等,保证用户是人类(无法快速反复发送请求)。 攻击者绕过CAPTCHA验证后,可以使用恶意脚本操控计算机反复发送请求或者在异地实现绕过验证的CSRF攻击。 漏洞原理 CAPTCHA漏洞利
kaptcha-2.3.2.jar
qq 117791303
09-16 225
验证码图片不清晰,开源google验证码包 kaptcha-2.3.2.jar
CVE-2018-3191利用exp
01-08
标题"CVE-2018-3191利用exp"涉及的是一个针对WebLogic服务器的安全漏洞,该漏洞被命名为CVE-2018-3191。这个漏洞是由于WebLogic服务器中Spring框架的一个组件处理JNDI(Java Naming and Directory Interface)注入...
CVE-2018-8174_EXP:CVE-2018-8174_python
05-16
针对CVE-2018-8174的漏洞利用 可选参数:-h,--help显示此帮助消息并退出-u URL,--url URL exp url -o OUTPUT,--output OUTPUT输出利用rtf -i IP,--ip IP表示netcat -p PORT ,--port netcat的PORT端口 例如: ...
kaptcha开源验证码
03-24
实例 博文链接:https://xdjava.iteye.com/blog/1113751
CVE-2018-18778.docx
07-23
**CVE-2018-18778:mini_httpd任意文件读取漏洞详解** CVE-2018-18778 是一个针对 mini_httpd 服务器的严重安全漏洞,它允许攻击者通过精心构造的HTTP请求来读取服务器上的任意文件。这个漏洞源于 mini_httpd 对于...
解决com.github.penggle kaptcha 2.3.2 报错
franktangfan的博客
02-08 2888
出现以上结果,表示com.github.penggle的jar包安装成功,此时,有可能你的工程pom.xml中依然是红色,原因是你下载后的jar包位置与你工程中的maven的本地仓库repository不同,所以需要修改,如上图,化红线处表示jar包安装的位置,可以到该路径下把你的依赖复制到你的本地仓库地址,就可以解决com.github.penggle kaptcha 2.3.2 报错的问题了。
SpringBoot整合kaptcha(谷歌验证码工具)实现验证码功能
小万是个程序员
06-16 1210
SpringBoot整合kaptcha(谷歌验证码工具)实现验证码功能
已解决 google kaptcha-2.3.2.jar验证码工具包的使用
Kurapika47的博客
02-18 3350
最近写项目用到验证码了,想方便用下这个。 然后pom.xml一直无法导入进去。 exm?? 最后找了找资源成功了,感谢那位免费的兄弟。 本来报红叉呢。 下载jar到 本地后 +解压后 建个文件夹 kaptcha-2.3.2 然后执行: mvn install:install-file -Dfile=./kaptcha-2.3.2.jar -DgroupId=com.google....
kaptcha随机验证码的使用详解,超实用
Gavid0124的专栏
01-17 3356
效果图: 官方地址:https://code.google.com/p/kaptcha/w/list 1、把下载的kaptcha-2.3.2.jar添加到lib中 2、配置web.xml增加servlet 1 2 3 4 5 6 7 8         Kaptcha         
DVWA之Insecure Captcha
谢公子的博客
08-05 5494
Insecure CAPTCHA Insecure CAPTCHA,意思是不安全的验证码,CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。但个人觉得,这一模块的内容叫做不安全的验证流程更妥当些,因为这块主要是验证流程出现了逻辑漏洞,谷歌...
ImportError: cannot import name 'Generic'
12-27
### 解析 Import Error 的常见原因 当遇到 `ImportError: cannot import name 'Generic'` 错误时,通常意味着尝试从模块中导入的对象不存在或无法访问。此问题可能由多种因素引起: - 版本不兼容:不同库之间的版本冲突可能导致此类错误。 - 安装缺失:目标库未正确安装或路径配置有误。 - 导入语句不当:可能存在循环依赖或其他语法层面的问题。 ### 针对 Generic 类型的具体解决方案 对于特定于 `Generic` 的情况,考虑到 Python 中 `Generic` 是 typing 模块的一部分,在处理该类别的 ImportError 时可采取如下措施[^1]: #### 方法一:确认typing模块可用性 确保环境中已安装标准库中的 typing 模块,并且其版本支持所使用的特性。可以通过以下命令验证: ```bash python -c "from typing import Generic; print(Generic)" ``` 如果上述命令执行失败,则可能是由于 Python 或者相关扩展包的版本过低造成的。此时应考虑升级至更高版本的解释器以及对应的开发工具链。 #### 方法二:调整导入方式 有时直接通过顶层命名空间来获取所需组件会更稳定可靠。修改代码以采用这种做法可能会解决问题: ```python from collections.abc import Iterable # 如果是迭代器相关接口 from typing import TypeVar, Protocol # 对于协议和泛型定义 T = TypeVar('T') class MyContainer(Protocol[T]): ... ``` 注意这里并没有显式提到 `Generic` ,而是利用了更为基础的数据结构抽象基类或是其他替代方案实现相同功能[^2]。 #### 方法三:排查环境变量设置 检查系统的 PYTHONPATH 和虚拟环境配置是否正常工作。任何异常都可能导致某些第三方软件包找不到必要的资源文件而引发类似的错误提示。建议清理并重建项目专属的工作区以便排除干扰项的影响。 #### 示例修正后的代码片段 假设原始代码试图这样引入 `Generic` : ```python from some_module import Generic # 可能导致 ImportError ``` 改为遵循官方文档推荐的方式后变为: ```python from typing import Generic # 正确的做法 ```
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值