使用模板来实现页面

求水仙花数 以及 最大公约数最小公倍数 以及 冒泡法 以及字母大小写的转换 以及简单选择排序法 以及斐波那契数列

  返回  

Nginx、Shiro

2021/8/21 11:47:10 浏览:

@TOC

Nginx解析漏洞

漏洞描述
该漏洞利用Nginx配置错误,解析了URL地址,导致可以绕过服务器限制,从而解析PHP文件,造成命令执行的危害。
风险等级

漏洞危害
攻击者可以利用该漏洞上传木马文件,可以成功获取服务器权限。
整改意见
1.修改php.ini,设置cgi.fix_pathinfo = 0。
2.修改配置文件vim /etc/php5/fpm/pool.d/www.conf将security.limit_extensions=,设置为:
security.limit_extensions=.php,只允许php文件解析。

Shiro反序列化漏洞

漏洞描述:Shiro版本<=1.2.4时,其参数rememberMe存在硬编码,它对于cookie的处理流程是,首先获取rememberMe的cookie值,而后进行base64解码,再进行反序列化,但在这个过程中,其AES的Key硬编码,致使反序列化漏洞的产生。
风险等级

测试方法
抓包,重放数据包,响应包会有rememberMe=deleteMe
漏洞危害
攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。
整改意见
1.升级Shiro依赖版本。
2.随机生成密钥修复。
3.私有化硬编码密钥。

联系我们

如果您对我们的服务有兴趣,请及时和我们联系!

服务热线:18288888888
座机:18288888888
传真:
邮箱:888888@qq.com
地址:郑州市文化路红专路93号