目录0x01、什么是未授权漏洞0x02、SpringBoot Actuator 未授权访问0x03 SwaggerUI未授权访问漏洞0x01、什么是未授权漏洞未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。0x02、SpringBoot Actuator 未授权访问2.1 漏洞简介Actuato
转载
2024-04-01 22:22:09
444阅读
这里面有关于发号器,UUID的介绍,具体各位是使用UUID的哪个版本,或者使用雪花ID,或者使用其他别的方式,请各位自行判断 在我的业务里面呢:1.准备部署至少两台服务器,且两台服务器时区不一样,一台阿里云香港,东八区,一台美国洛杉矶,多少区忘了,反正有13个小时的时差,——雪花ID的方案就被我否了,因为我不能保证美国那台服务器的时区不会根据冬夏令时来回跳,雪花ID在时钟回拨的情况下会一
Druid未授权访问漏洞,修复思路 漏洞描述 解决建议漏洞描述漏洞描述:Druid是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控,首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成未授权访问。解决建议解决建议:修改
原创
2022-08-31 21:16:14
4606阅读
一·漏洞影响排查方法(一).JDK版本号排查在业务系统的运行服务器上,执行“java -version”命令查看运行的JDK版本,如果版本号小于等于8,则不受漏洞影响(二).Spring框架使用情况排查1.如果业务系统项目以war包形式部署,按照如下步骤进行判断。⑴解压war包:将war文件的后缀修改成.zip ,解压zip文件 ⑵在解压缩目录下搜索是否存在 spring-beans-.jar 格
转载
2023-08-30 15:07:17
0阅读
目录1.创建maven项目2.在pom.xml下载包3.给项目添加Web功能(1)(2)(3)(4)(5)改名为SpringMVCDemo01(6)点击确定,添加成功4.创建三个页面(1)登录页面 - login.jsp(2)登录成功页面 - success.jsp(3)登录失败页面 - failure.jsp5.创建登录控制器 - LoginController6创建Spring配置文件 -
转载
2024-10-18 15:25:34
78阅读
初始阶段1.添加项目所需要的jar包1.springframework-spring-beans.jar
2.springframework-spring-context.jar
3.springframework-spring-core.jar
4.springframework-spring-web.jar
5.springframework-spring-webmvc.jar
6.commo
01 前言Spring Framework开源框架可以说是当今JAVA界最基础的框架,由于应用的广泛性,对于使用项目组而言,每一次升级都需要经过深思熟虑,防止引发连锁反应。此次针对CVE-2020-5421漏洞的公布,在紧迫的整改要求下,如果盲目进行升级会对项目本身的稳定性和功能性造成影响,存在风险。本文从漏洞背景、影响版本、漏洞原理等方面进行简明描述,并且得出大部分情况下无需进行升级或者修复版本
转载
2023-11-29 23:55:02
51阅读
文章目录前言`一、Tomcat中的war包路径二、url-pattern三、Tomcat中部署路径四、idea中对应路径的映射和匹配五、注意事项 前言`SpringMVC的请求过程: 1、浏览器发送请求,若请求地址符合前端控制器的url-pattern,该请求就会被前端控制器DispatcherServlet处理。 2、前端控制器会读取SpringMVC的核心配置文件,通过扫描组件找到控制器,将
转载
2024-09-02 12:21:34
42阅读
Druid是阿里巴巴出品,为监控而生的数据库连接池。它提供监控SQL的执行时间、监控Web URI的请求、Session监控等功能。在配置不当时它允许任何用户直接查看监控面板页面,该页面存在数据库用户,数据库名等敏感数据,攻击者可能通过这些敏感数据进行更进一步的攻击。【漏洞预警】druid未授权访问漏洞
漏洞级别:高危
漏洞类型:逻辑漏洞
漏洞讲解:druid没有设置授权访问,通过/druid/
原创
精选
2023-12-14 09:16:18
4102阅读
一、原理精选: 1、kafka集群以及consumer都依赖于zookeeper集群保存一些meta信息,但是在0.9版本及以后,Kafka 消费的offset都会默认存放在 Kafka 集群中的一个叫 __consumer_offsets 的topic中。 原因:如果offset保存在zookeeper中,消费者需要频繁的去与 Zookeeper 进行交互,而利用ZKClient的API操作Zo
转载
2024-04-18 21:46:05
30阅读
分为四个部分:jdbc.properties;applicationContext.xml ;pom.xml ;DataSourceTest.java作用分别为:连接池配置文件,spring配置文件,maven配置文件,测试连接是否成功。(主要为测试,所以内容都放在了test目录下) 四个文件所在位置:jdbc.properties:jdbc.driver=com.mysql.jdbc.Drive
转载
2024-10-11 10:29:15
74阅读
1.概述Hystrix提供了准实时的调用监控(Hystrix Dashboard),Hystrix会持续地记录所有通过Hystrix发起的请求的执行信息,并以统计报表和图形的形式展示给用户,包括每秒执行多少请求多少成功,多少失败等。Hystrix-dashboard 是一款针对 Hystrix 进行准实时监控的工具,通过 Hystrix Dashboard 我们可以在直观地看到各 Hystrix
转载
2024-07-02 12:13:49
102阅读
1.springmvc的执行流程:所以必备标准配置有三个:<!-- 1.配置处理器映射器,springmvc默认的处理器映射器 BeanNameUrlHandlerMapping:根据bean(自定义Controler)的name属性的url去寻找hanler(Action:Controller) -->
<bean class="org.springframework.web.
转载
2024-07-01 12:55:00
47阅读
读写分离常见有俩种方式 1 第一种方式比较常用就是定义2个数据库连接,一个是Master,另一个是Slave。更新数据时我们取Master,查询数据时取Slave。太过简单不做介绍。 2 第二种方数据源式动态切换,将数据源动态织入到程序中,达到动态选择读取主库还是从库的目的。主要使用的技术是:annotation,Spring AOP ,反射。下面介绍这种方式 首先创建Databas
转载
2024-04-18 13:46:03
177阅读
对于@ControllerAdvice,我们比较熟知的用法是结合@ExceptionHandler用于全局异常的处理,但其作用不仅限于此。ControllerAdvice拆分开来就是Controller Advice,关于Advice,前面我们讲解Spring Aop时讲到,其是用于封装一个切面所有属性的,包括切
1.Springboot-JDBC
Springboot整合JDBC后,引入spring-boot-starter-jdbc,通过JdbcTemplate来操作数据库。
导入依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>sprin
原创
2021-08-26 12:12:03
9125阅读
文章目录1.先在服务器上开启Zookeeper2.新建空项目添加依赖添加yml文件写主启动类写controller项目完成启动项目服务节点注册进zookeeper后是临时节点,服务停止后Zookeeper会把节点先保留一段时间,如果超时还是不能检测到服务的心跳,Zookeeper会直接删除服务节点,等待服务下次开启后重新注册。Zookeeper代替Eureka建项目写pom建yml写启动类配置及
转载
2024-04-17 14:20:04
66阅读
SpringMVC简介以及步骤一四.SpringMVC技术4.1请求重定向和转发4.1.1 请求转发**介绍:**处理器方法返回 ModelAndView 时,需在 setViewName()指定的视图前添加 forward:,且此时的视图不再与视图解析器一同工作,这样可以在配置了解析器时指定不同位置的视图。视图页面必须写出相对于项目根的路径。forward 操作不需要视图解析器。 处理器方法返回
转载
2024-04-13 10:17:48
100阅读
查询分析("OLAP"查询)。Druid最常被当做数据库来用以...
原创
2023-05-09 14:30:25
1580阅读
该cms基于tp3.2.3二次开发,已知该版本存在多种sql注入类型以及缓存文件漏洞。tp3.2.3历史漏洞漏洞已提交至CNVD简要概括如下where注入利用字符串方式作为where传参时存在注入1) and 1=updatexml(1,concat(0x7e,(user()),0x7e),1)--+exp注入这里使用全局数组进行传参(不要用I方法),漏洞才能生效public function
转载
2024-03-13 22:01:46
15阅读
