《零洞》专题
-
Twilio Android SDK OpenSSL 漏洞 [重复]
我在一个商业应用程序中使用最新版本的Twilio Android SDK(并向Twilio支付特权费用)。据https://support.google.com/faqs/answer/6376725,报道,由于“僵局”漏洞,谷歌Play商店将在2016年7月11日之后停止允许我们在商店中更新我们的应用程序。这是因为Twilio最新版本捆绑了OpenSSL 1 . 0 . 1k;而安全漏洞仅在1.
-
Node.js服务器中存在安全漏洞
我有网站运行在node.js&express服务器上。我了解到该网站存在以下漏洞。 远程攻击者可以发送巧尽心思构建的HTTP请求,并强制其针对某些流量边缘模式对错误连接进行日志记录语句。这会导致并发使用内存池进行单独的连接,并引发影响。 利用HTTP报头的间隔会在服务器进程中造成溢出,从而覆盖堆栈的一部分,通过覆盖下一个操作的字节来倒回请求处理。 一旦对暴露的endpoint进行相应的精心编制;环
-
我想知道在express-session中作为config传递的密钥的漏洞
我们传递一个在前面有一个密钥值的对象--> 我想知道将秘密密钥公开是一个好的做法,还是我应该通过环境变量传递它
-
LOG4J JNDI攻击CVE-2021-45105wso2漏洞
我目前的项目完全与大量Spring Boot容器对接。它们中的大多数都是使用log4j2(对于java8,小于2.7)版本构建的。如何充分证明来自JNDI攻击CVE-2021-45105的应用程序? 我知道最好的解决方案是用log4j版本重建这些容器,但这需要时间和预算。 但是,如果我使用下面的命令,在docker compose级别为每个容器禁用查找功能,它能工作吗? “JVM_EXTRA_OP
-
是否Hibernate核心5.3.7。log4j漏洞在Spring引导项目中最终易受攻击?
对于我们的SpringBoot项目,我们正在使用定制的SpringBoot库,它现在已经升级了。 但在升级过程中,我们保留了旧版本的hibernate core 5.3.7。最终支持NamedNativeRequesty功能。并且该版本内部使用了较旧的易受攻击的log4j版本。 然而,作为安全性的一部分,整个log4j版本升级到最新版本,当我们运行mvn dendacy: list时,我们只能看到
-
Hibernate Jboss日志记录和Log4j CVE漏洞
我正在做一个Spring Boot项目,我正在检查它是否与这个漏洞有关,我没有任何Log4j核心依赖,但是我正在使用Hibernate核心5.0.12,它使用jboss日志3.3.1 当我检查jboss日志依赖时,我看到log4j: 先谢谢你
-
如何检查Databricks群集是否存在Log4J漏洞?
我使用的是带有Scala 2.12的Databricks群集版本7.3 LTS。这个版本确实使用Log4J。 官方文件说它使用Log4J版本。这是否意味着我没有这个漏洞?如果我这样做了,我可以在集群上手动修补它,还是需要将集群升级到下一个LTS版本?
-
Bean操纵Fortify静态扫描漏洞
是否有一个推荐的库来修复与org.apache.commons.beanutils.populate(bean,ParamMap)相关的Bean操纵漏洞?我试图编写一些自定义方法来验证参数映射,但这并没有解决问题。 问候桑杰
-
SonarQube log4j漏洞
如何检测SonarQube LTS 8.2版本中的log4j漏洞。 我尝试了这个社区参考,但是找不到8.2版本的。 https://community.sonarsource.com/t/sonarqube-sonarcloud-and-the-log4j-vulnerability/54721
-
log4j安全违规漏洞是否影响log4net?
我最近在Log4J中读到了关于0天问题的文章。我使用了一些应用程序,这些应用程序是用。NET的日志库,它使用基于Log4j的log4net日志库。 log4net是否存在与log4j的CVE-2021-44228漏洞类似的安全漏洞?
-
在Servlet中编写HTTP响应时出现跨站点脚本漏洞(下载excel文件)
以下代码容易发生跨站点脚本攻击,Veracode 扫描已报告: 我理解这行代码-<code>response.getOutputStream()。写入(inputBytes,0,inputBytes.length)容易受到XSS攻击。 如何在这里修复XSS(跨站点脚本)缺陷?是否有任何 ESAPI 库可用于 byte[] 数组来修复 XSS 缺陷?
-
如何修复强化路径操作(输入验证和表示、数据流)漏洞
我在使用新关键字创建文件时遇到了强化路径操作漏洞 在将路径传递给文件对象之前,我已尝试清理路径,但问题仍然存在。还尝试了此链接:https://www.securecoding.cert.org/confluence/display/java/FIO00-J.不要对共享目录中的文件进行操作 在santisePath之后,我以为扫描不会被选中,漏洞,但是,它做到了。
-
路径操纵(安全漏洞)
Fortify安全审查告诉我们一些路径操作漏洞。大多数都是显而易见的简单解决方案,但我不明白如何解决以下问题。 "wsdlPath"是从文本框中输入的。这是无法解决的问题吗?我可以验证路径是否存在,等等,但是这对漏洞有什么帮助呢?
-
如何用JAXB修复这个在修复XXE漏洞时出现的Unmarshal异常?
我们应该处理的XML消息的格式如下: 收到的例外: javax。xml。绑定解组异常:意外元素(uri:,本地:“ns0:MessageType”)。预期的元素是 上述异常发生在com中。xmlprocessor。MessageParser类。上述课程中的代码过去是这样的(并且已经工作了很长时间): 事实证明,这会给你带来XXE的坏情况。所以我们尝试了许多非常相似的东西DocumentBuilde
-
如何解决android apk中的意图重定向漏洞?
我在Unity中创建了我的应用程序,然后导出项目,然后在Android Studio中生成签名apk。 我想把我的应用上传到谷歌Play商店,但由于安全漏洞,它被拒绝了。 该漏洞是意图重定向,建议我遵循以下步骤之一:https://support.google.com/faqs/answer/9267555 我的应用程序使用firebase(db和auth),我想这可能会导致该漏洞(但我不确定,因