CVE-2007-1157(jboss CSRF漏洞)
参考链接:
jboss 跨站请求伪造漏洞
Vulnerability Details : CVE-2007-1157
漏洞影响范围:
目前的版本可能都有
漏洞级别:
阿里云ARMS显示高危
阿里云漏洞库未评级
cvedetails评分:
备注:
CVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。
漏洞的最终得分最大为10,最小为0。
得分7~10的漏洞通常被认为比较严重
得分在4~6.9之间的是中级漏洞
得分0~3.9的则是低级漏洞
漏洞描述:
Cross-site request forgery (CSRF) vulnerability in jmx-console/HtmlAdaptor in JBoss allows remote attackers to perform privileged actions as administrators via certain MBean operations, a different vulnerability than CVE-2006-3733.
解决方案:
建议您更新当前系统或软件至最新版,完成漏洞的修复。
从描述来看,当使用JBoss作为服务器时才会有本漏洞
如果是springboot使用undertow的话,也可能会被检测到,但是如下的链接是无法访问的
http://127.0.0.1:8080/jmx-console/HtmlAdaptor
保守起见,如果是springboot,可以直接使用tomcat
CVE-2007-1157(jboss CSRF漏洞)相关推荐
- 一个express老系统csrf漏洞修复
一个运行快两年的express框架web系统,被安全部门审核存在csrf漏洞,项目使用的前后端分离的形式,所有功能操作,通过ajax调用后端接口来完成,查了很多资料,一个基本的防御思想就是验证随机数了 ...
- 自动检测CSRF漏洞的工具
burp 抓包(有敏感接口的,比如转账) 右键---->Engagement Tools----〉Generate CSRF PoC 将HTML代码粘贴到sublime或者NotePad++ 保 ...
- web安全-----CSRF漏洞
简述 CSRF:Cross-site request -forgery,跨站请求伪造,是一种web攻击方式,是由于网站的cookie在浏览器中不会过期,只要不关闭浏览器或者退出登录,那以后只要访问这个 ...
- WordPress 5.1.1 发布,修复 CSRF 漏洞
WordPress 5.1.1 已经发布,这是一个安全和维护版本.WordPress 5.1.1 包含了 14 个问题修复和功能增强,修复了一个可能引发跨站脚本攻击的评论 CSRF 漏洞,完整更新包括 ...
- Csrf漏洞概述及其原理
一.Csrf漏洞的概述 1.CSRF(Cross-site request forgery)跨站请求伪造,也被称为"One Click Attack"或者Session Ridin ...
- csrf漏洞防御方案_CSRF原理实战及防御手段
注:本文仅供学习参考 csrf定义: CSRF跨站点请求伪造(Cross-Site Request Forgery)攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是 ...
- csrf漏洞防御方案_CSRF 漏洞原理详解及防御方法
跨站请求伪造:攻击者可以劫持其他用户进行的一些请求,利用用户身份进行恶意操作. 例如:请求http://x.com/del.php?id=1是一个删除ID为1的账号,但是只有管理员才可以操作,如果攻击 ...
- 通俗易懂的csrf漏洞(token为什么能放cookie)
csrf漏洞原理 csrf漏洞即跨站请求伪造,通俗来说即攻击者通过发送第三方网站(乱七八糟的网站)给你,然而这个网站中隐藏了对你已经登陆过的网站的一些请求,也就是含有你的身份认证信息,从而可以假扮你去 ...
- 【网络安全】CSRF漏洞详细解读
CSRF 一 CSRF介绍 1.什么是CSRF 2.CSRF漏洞危害 二 CSRF的三种漏洞 1.GET类型CSRF 2.POST类型CSRF 3.Token类型CSRF 三 靶场演示 四 CSRF漏 ...
最新文章
- 压缩感知专题笔记——目录
- IplImage和Mat间的相互转换
- Mybatis传入参数map,读取map原创
- Kafka消息的可靠性
- 将数据、代码、栈放入不同的栈(8086)
- 从托管到原生,MPP架构数据仓库的云原生实践
- 是否担心别人将你的博客文章全部爬下来?3行代码教你检测爬虫
- 在嵌入式uClibc上移植valgrind
- 【UE4】 Pak解密、挂载、加载
- 搭建一个 软件授权码管理系统
- table 表格边框线去重
- IOS从零开始之_objective-c初探上
- 结构化数据、半结构化数据和非结构化数据
- 8、Java中XML表示衣服尺码信息的文档编写
- 网络基础知识 — 设备
- abap开发那点事 (二)
- excel和mysql php_php和mysql仿excel的rank函数
- hdu3265(好题翻译)
- Activity的相关知识(一)
- 新版正方教务系统Java爬取_正方教务系统成绩爬取(仅个人)+tk可视化