Java远程调试(Remote Debug)可导致远程命令执行漏洞

最新推荐文章于 2025-10-12 12:15:54 发布
转载 最新推荐文章于 2025-10-12 12:15:54 发布 · 2k 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/HeAlvin/blog/825452
文章标签:

#java

本文介绍了一个关于Java远程调试模式的安全漏洞,该模式缺乏身份验证,可能导致远程命令执行。黑客利用此漏洞可以直接连接到开放端口并对主机进行入侵。
部署运行你感兴趣的模型镜像

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

Java远程调试(Remote Debug)可导致远程命令执行漏洞
注释startup.sh第2行  
#!/bin/bash
#declare -x CATALINA_OPTS="-server -Xdebug -Xnoagent   -Djava.compiler=NONE-Xrunjdwp:transport=dt_socket,server=y,suspend=n,address=8788"
重启对应项目tomcat服务
#Java应用在编译过程中可以开启Remote Debug模式,方便程序员远程对代码进行调试。但由于该模式没有身份校验机制,且可执行系统命令,黑客可连接该端口直接对主机进行入侵。

 

转载于:https://my.oschina.net/HeAlvin/blog/825452

您可能感兴趣的与本文相关的镜像

Stable-Diffusion-3.5

Stable-Diffusion-3.5

图片生成
Stable-Diffusion

Stable Diffusion 3.5 (SD 3.5) 是由 Stability AI 推出的新一代文本到图像生成模型,相比 3.0 版本,它提升了图像质量、运行速度和硬件效率

ida调试linux程序,MAC使用IDA PRO远程调试LINUX程序
weixin_30764401的博客
05-01 749
1 背景在学习Linux系统上的一些漏洞知识的时候,往往需要进行“实地测试”,但是在Linux系统上进行调试并不太方便,因为LINUX自带的GDB调试工具真的不太人性化,即使有GDBTUI之类的“伪图形界面调试器”,也跟IDA PRO之类的调试器相差甚远。这里又遇到另一个问题了——LINUX平台的IDA PRO不太好找。综上,对于初学者而言最佳方案就是使用IDA PRO的远程调试功能!2 环境配置...
远程代码执行漏洞(CVE-2018-11776)
玄道的网安博客
07-01 3665
影响版本 Struts <= Struts 2.3.34, Struts 2.5.16 环境搭建 启动Struts 2.3.34环境: docker-compose up -d 启动环境后,访问http://your-ip: 8080/show/,您将看到Struts2测试页面。 漏洞利用 利用 S2-057要求具备以下条件: action元素没有设置名称空间属性,或者使用了通配符 名称空间将由用户从uri传递并解析为OGNL表达式,最终导致远程代码...
远程命令执行漏洞
08-10
NULL 博文链接:https://crabdave.iteye.com/blog/2211641
IDEA远程调试与JDWP调试端口RCE漏洞
道阻且长,行则将至
12-10 2350
在对一些 Java CVE 漏洞调试分析过程中,本地 IDEA 搭建漏洞环境的话既麻烦又不安全,这个时候如果能直接在虚拟机运行 Vulhub 提供的 Docker 靶场并使用物理机 IDEA 对其进行远程调试,那么这项工作就显得安全便捷了。本文来学习下如何通过 IDEA 远程调试远程 Docker 服务的靶场环境,同时学习此类调试环境衍生的服务器安全风险——JDWP调试接口对外开放导致RCE漏洞
Java服务安全防护】:揭秘9大安全隐患及企业级防御策略
最新发布
LiteCompile的博客
10-12 605
掌握Java服务安全防护核心策略,系统解析9大常见安全隐患及企业级防御方案。涵盖Web应用、微服务等场景,提供代码加固、权限控制与漏洞防范实用方法,提升系统稳定性与安全性,值得收藏。
远程代码执行及反序列化漏洞
weixin_59616219的博客
12-21 1084
远程代码执行及反序列化漏洞
java JDWP调试接口任意命令执行漏洞
tangshuangsss的专栏
12-16 6114
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介JDWP(Java DEbugger Wire Protocol):即Java调试线协议,是一个为Java...
Java 远程debug调试
qq_34654509的博客
06-18 805
1.IDEA构建SpringBoot测试Demo <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.a
远程调试Java EE应用:NetBeans远程调试技巧全解析
随着企业级应用的快速发展,远程调试已成为日常开发中不可或缺的环节。它是解决跨地域、跨环境问题的有力工具,能够帮助开发者在不影响产品实际运行环境的情况下,深入理解应用行为,高效定位问题根源。 ## 1.2 ...
IDEA weblogic远程调试
洋洋的小黑屋
05-21 536
weblogic远程调试 这里我们使用vulhub的镜像作为初始构建镜像搭建漏洞环境 1. 搭建docker环境 新建一个目录,创建两个文件 DockerFile FROM vulhub/weblogic:10.3.6.0-2017 ENV debugFlag true EXPOSE 7001 EXPOSE 8453 docker-compose.yml version: '2' servi...
代码调试跟踪与优化(一)--- 如何用GDB 调试代码?
流云
03-17 5094
我们在开发软件时,免不了引入一些Bug,这就需要借助各种调试跟踪工具,通过查看当前的执行指令、内存数据、运行日志等信息,分析出产生bug 的可能原因,并给出解决方案。本文主要以GDB 为例,简单介绍GDB 的调试原理是怎样的?GDB 常用的调试命令有哪些?GDB 如何配合VSCode实现可视化调试?GDB 远程调试是如何实现的?
浅析JDWP远程命令执行漏洞 [ Mi1k7ea ]1
08-03
2022/3/2 下午8:30浅析JDWP远程命令执漏洞 [ Mi1k7ea ]https://www.mi1k7ea.com/2021/08/06/浅析JDW
Java Remote Debug远程调试
满脑子灵感的专栏
02-18 2266
java -Xdebug -Xrunjdwp:transport=dt_socket,server=y,suspend=y,address=5005 -jar Testdemo-1.0.0-SNAPSHOT.jar 将项目启动起来后,再去配置Eclipse,否则会报错,连接被拒绝。但由于该模式没有身份校验机制,且可执行系统命令,黑客可连接该端口直接对主机进行入侵,严重情况下,可能导致获取服务器权限,从而导致数据泄露。在③处选择需要监听的项目,(对于多项目依赖启动的工程来说,启动哪个项目,就监听哪个项目)
远程代码执行漏洞的利用与防御
qq_61714717的博客
12-14 1825
RCE漏洞
Java框架安全篇--log4j2远程代码执行漏洞
m0_63138919的博客
04-06 1860
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主师傅大佬勿喷,还希望大家指出错误
使用JAVA远程调用导致程序自动down掉,jdk1.5的debug模式系统漏洞
程序人生,爱上你的事业,爱上你的生活
09-14 6905
在项目上遇到一个系统会突然down掉的问题,因为并没有详细的日志信息,百思不得其解,终于有一天这个问题再次出现,捕获的日志信息为: ERROR: transport error 202: handshake failed - connection prematurally closed ["transport.c",L41] JDWP exit error JVMTI_ERROR_NONE(
漏洞复现】JDWP远程命令执行漏洞
weixin_43486390的博客
03-02 8348
0x01 漏洞描述 JPDA(Java Platform Debugger Architecture):即Java平台调试体系架构。Java虚拟机设计的专门的API接口调试和监控虚拟机使用 JPDA按照抽象层次,又分为三层,分别是: JVM TI(Java VM Tool Interface):虚拟机对外暴露的接口,包括debug和profile。 JDI(Java Debug Interface):Java接口,实现了JDWP协议的客户端,调试器可以用来和远程调试应用通信。 JDWP(Java
Java服务如何开启Debug远程调试
仗键走天涯
07-21 2525
日常项目中,通常我们的代码都是部署到远程的服务器,有时线上出现了问题,经常需要我们增加一些日志来排查问题,但是如果是测试环境的场景下或者我们能进行远程调试的话,我们就可以使用远程Debug方式进行远程调试,不用频繁的修改代码部署到远程服务器上。这时就需要我们的服务需要开启远程Debug了。
安全的Java远程Debug
weixin_33941350的博客
09-01 361
2019独角兽企业重金招聘Python工程师标准>>> ...
Unity远程调试利器 - Hdg Remote Debug 2.6版发布
资源摘要信息:"Unity3D远程调试插件Hdg Remote Debug - Live Update Tool 2.6 最新版" Unity3D远程调试插件Hdg Remote Debug - Live Update Tool 2.6的最新版本是一个专为Unity游戏引擎设计的实时更新和调试工具。...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值