当前位置: 首页 > article >正文

针对网上nbcio-boot代码审计的actuator方法的未授权访问漏洞和ScriptEngine的注入漏洞的补救

article 2024/11/17 11:22:00

针对网上下面文章的漏洞补救

奇安信攻防社区-代码审计之nbcio-boot从信息泄露到Getshell

一、未授权分析

在ShiroConfig中放开了actuator方法的未授权访问
org/jeecg/config/shiro/ShiroConfig.java:156

上面问题,先注释掉上面的未授权访问,实际就是代码注释掉

二、、RCE分析

此处代码调用了ScriptEngine的eval方法,此方法若不做特殊处理易引起代码注入问题,这里不做过多解释。
com/nbcio/modules/estar/bs/service/impl/DataSetParamServiceImpl.java:99

1、针对上面情况,Da


http://www.kler.cn/a/301897.html

相关文章:

  • Fish Agent V0.13B:Fish Audio的语音处理新突破,AI语音助手的未来已来!
  • Docker部署Kafka SASL_SSL认证,并集成到Spring Boot
  • 【从零开始的LeetCode-算法】3239. 最少翻转次数使二进制矩阵回文 I
  • 鸿蒙next ui安全区域适配(刘海屏、摄像头挖空等)
  • 51c大模型~合集42
  • Python期末复习 | 列表、元组、字典、集合与字符串 | 代码演示
  • 基线代理 AI 系统架构
  • 一个以细节见功底的JAVA程序
  • MySQL——数据库的高级操作(二)用户管理(2)创建普通用户
  • 春招审核新策略:Spring Boot系统实现
  • 大型语言模型:通过代码生成、调试和 CI/CD 集成改变软件开发的游戏规则
  • 大数据新视界 --大数据大厂之Flink强势崛起:大数据新视界的璀璨明珠
  • Stable Diffusion绘画 | ControlNet应用-Tile(分块)—tile_resample(分块-重采样)
  • asio中的异步accept分析
  • 如何将 Electron 项目上架 Apple Store
  • 【时时三省】c语言例题----华为机试题<进制转换>
  • Android-10分区存储介绍及百度APP适配实践(1)
  • google vr 入门之制作简易的VR播放器(二)
  • 基于OpenCV与MQTT的停车场车牌识别系统:结合SQLite和Flask的设计流程
  • 基于Qt的自定制WPS
  • 垃圾回收
  • Flutter集成Firebase中的Realtime Analytics
  • 初学者指南:MyBatis 入门教程
  • 【开源免费】基于SpringBoot+Vue.JS房产销售系统(JAVA毕业设计)
  • Redis Key的过期策略
  • 18 Python如何操作文件?