Symfony 2 历史漏洞(选择版本的依据)
文章目录
- Symfony 历史漏洞
- 百度检索CVE
- 批量搜索CVE-看这个就行了
- Symfony 2 历史漏洞
Symfony 历史漏洞
百度检索CVE
CVE-2021-21424: Prevent user enumeration in authentication mechanisms
CVE-2020-15094
PHP模板引擎的跳脱验证讯息CVE-2019-10909、验证服务ID有效性CVE-2019-10910以及Cookie杂凑的问题CVE-2019-10911
CVE-2018-14773
CVE-2015-8125
CVE-2015-4050: ESI unauthorized access
CVE-2015-2308: Esi Code Injection
CVE-2013-1348,CVE-2013-1397
CVE-2012-6432
批量搜索CVE-看这个就行了
CVE 只能通过 ID 搜索 CVE 漏洞。
Symfony 官网发布的安全公告,位于 https://symfony.com/blog/ 目录下,该目录目前有 282 Pages,可以通过遍历 Page 参数来爬取每一个 CVE 通告页面。
该说不说,百度一个个找一点都不偷懒,要知道偷懒可是第二生产力。
爬取官网公告并提取 CVE 相关页面:
# -*- coding:utf-8 -*-import requests
from bs4 import BeautifulSoupurl = "https://symfony.com/blog/?page={}"
cveList = []
for x in range(1, 283):if x % 10 == 0:print(x)resp = requests.get(url.format(x), timeout=3)html = resp.textif resp.status_code == 200:soup = BeautifulSoup(html, 'lxml')aList = soup.find_all('a')for a in aList:href = a.get('href')# 第一遍只提取到 4 条记录# if "cve" in href and "symfony" in href: # print(a, href)# cveList.append(href)if "cve" in href:if "http" not in href:href = "https://symfony.com" + href# print(a, href)if href not in cveList:cveList.append(href)
for x in cveList:print(x)
Symfony 官网公告提供的 CVE 列表如下,检索到 45 条 CVE 漏洞公告。
漏洞编号 | 公告地址 |
---|---|
cve-2021-32693 | https://symfony.com/blog/cve-2021-32693-authentication-granted-to-all-firewalls-instead-of-just-one |
cve-2021-21424 | https://symfony.com/blog/cve-2021-21424-prevent-user-enumeration-in-authentication-mechanisms |
cve-2020-15094 | /blog/cve-2020-15094-prevent-rce-when-calling-untrusted-remote-with-cachinghttpclient |
cve-2020-5275 | https://symfony.com/blog/cve-2020-5275-all-access-control-rules-are-required-when-a-firewall-uses-the-unanimous-strategy |
cve-2020-5255 | https://symfony.com/blog/cve-2020-5255-prevent-cache-poisoning-via-a-response-content-type-header |
cve-2020-5274 | https://symfony.com/blog/cve-2020-5274-fix-exception-message-escaping-rendered-by-errorhandler |
cve-2019-11325 | https://symfony.com/blog/cve-2019-11325-fix-escaping-of-strings-in-varexporte |
cve-2019-18888 | https://symfony.com/blog/cve-2019-18888-prevent-argument-injection-in-a-mimetypeguesser |
cve-2019-18886 | https://symfony.com/blog/cve-2019-18886-prevent-user-enumeration-using-switch-user-functionality |
cve-2019-18887 | https://symfony.com/blog/cve-2019-18887-use-constant-time-comparison-in-urisigner |
cve-2019-18889 | https://symfony.com/blog/cve-2019-18889-forbid-serializing-abstractadapter-and-tagawareadapter-instances |
cve-2019-10911 | https://symfony.com/blog/cve-2019-10911-add-a-separator-in-the-remember-me-cookie-hash |
cve-2019-10912 | https://symfony.com/blog/cve-2019-10912-prevent-destructors-with-side-effects-from-being-unserialized |
cve-2019-10913 | https://symfony.com/blog/cve-2019-10913-reject-invalid-http-method-overrides |
cve-2019-10909 | https://symfony.com/blog/cve-2019-10909-escape-validation-messages-in-the-php-templating-engine |
cve-2019-10910 | https://symfony.com/blog/cve-2019-10910-check-service-ids-are-valid |
cve-2018-19789 | https://symfony.com/blog/cve-2018-19789-disclosure-of-uploaded-files-full-path |
cve-2018-19790 | https://symfony.com/blog/cve-2018-19790-open-redirect-vulnerability-when-using-security-http |
cve-2018-14773 | https://symfony.com/blog/cve-2018-14773-remove-support-for-legacy-and-risky-http-headers |
cve-2018-14774 | https://symfony.com/blog/cve-2018-14774-possible-host-header-injection-when-using-httpcache |
cve-2018-11407 | https://symfony.com/blog/cve-2018-11407-unauthorized-access-on-a-misconfigured-ldap-server-when-using-an-empty-password |
cve-2018-11385 | https://symfony.com/blog/cve-2018-11385-session-fixation-issue-for-guard-authentication |
cve-2018-11386 | https://symfony.com/blog/cve-2018-11386-denial-of-service-when-using-pdosessionhandler |
cve-2018-11408 | https://symfony.com/blog/cve-2018-11408-open-redirect-vulnerability-on-security-handlers |
cve-2018-11406 | https://symfony.com/blog/cve-2018-11406-csrf-token-fixation |
cve-2017-16653 | https://symfony.com/blog/cve-2017-16653-csrf-protection-does-not-use-different-tokens-for-http-and-https |
cve-2017-16652 | https://symfony.com/blog/cve-2017-16652-open-redirect-vulnerability-on-security-handlers |
cve-2017-16654 | https://symfony.com/blog/cve-2017-16654-intl-bundle-readers-breaking-out-of-paths |
cve-2017-16790 | https://symfony.com/blog/cve-2017-16790-ensure-that-submitted-data-are-uploaded-files |
cve-2017-11365 | https://symfony.com/blog/cve-2017-11365-empty-passwords-validation-issue |
cve-2016-2403 | https://symfony.com/blog/cve-2016-2403-unauthorized-access-on-a-misconfigured-ldap-server-when-using-an-empty-password |
cve-2016-4423 | https://symfony.com/blog/cve-2016-4423-large-username-storage-in-session |
cve-2016-1902 | https://symfony.com/blog/cve-2016-1902-securerandom-s-fallback-not-secure-when-openssl-fails |
cve-2015-8125 | https://symfony.com/blog/cve-2015-8125-potential-remote-timing-attack-vulnerability-in-security-remember-me-service |
cve-2015-8124 | https://symfony.com/blog/cve-2015-8124-session-fixation-in-the-remember-me-login-feature |
cve-2015-4050 | https://symfony.com/blog/cve-2015-4050-esi-unauthorized-access |
cve-2015-2308 | https://symfony.com/blog/cve-2015-2308-esi-code-injection |
cve-2015-2309 | https://symfony.com/blog/cve-2015-2309-unsafe-methods-in-the-request-class |
cve-2014-6072 | https://symfony.com/blog/cve-2014-6072-csrf-vulnerability-in-the-web-profiler |
cve-2014-6061 | https://symfony.com/blog/cve-2014-6061-security-issue-when-parsing-the-authorization-header |
cve-2014-5245 | https://symfony.com/blog/cve-2014-5245-direct-access-of-esi-urls-behind-a-trusted-proxy |
cve-2014-5244 | https://symfony.com/blog/cve-2014-5244-denial-of-service-with-a-malicious-http-host-header |
cve-2014-4931 | https://symfony.com/blog/security-releases-cve-2014-4931-symfony-2-3-18-2-4-8-and-2-5-2-released |
cve-2013-5958 | https://symfony.com/blog/security-releases-cve-2013-5958-symfony-2-0-25-2-1-13-2-2-9-and-2-3-6-released |
cve-2013-5750 | https://symfony.com/blog/cve-2013-5750-security-issue-in-fosuserbundle-login-form |
Symfony 2 历史漏洞
查看文章 【10月进步一点点】2.认识Symfony , Symfony 2.0 - 2.8 的发布时间是 2011-2015年。 实际效果,根据 CVE 来选择框架版本不好用。
参考 EduSoho常见问题 得知,框架使用Symfony2.2 的视图层 + 自主研发的服务容器框架。所以选择安装 Symfony 2.2。
这波英语原文阅读了。
CVE漏洞编号 | 涉及版本 | 漏洞信息 |
---|---|---|
cve-2013-5750 | Symfony 2.4 以下版本 | 登录表单密码长度无限制,导致的Dos攻击 |
cve-2013-5958 | All 2.1.x-2.3.x | 与 cve-2013-5750 相关,提供了.patch文件 |
cve-2014-4931 | All 2.0.x-2.5.x | 代码注入 |
cve-2014-5244 | All 2.0.x-2.5.x | HTTP请求头导致的 Dos攻击 |
- |
Symfony 2 历史漏洞(选择版本的依据)相关推荐
- struts2 ognl 判断数据类型_新华三攻防系列之防护篇从防护角度看Struts2历史漏洞...
前言 Struts2漏洞是一个经典的漏洞系列,根源在于Struts2引入了OGNL表达式使得框架具有灵活的动态性.随着整体框架的补丁完善,现在想挖掘新的Struts2漏洞会比以前困难很多,从实际了解的 ...
- Linux和unix发行版本,UNIX发展历史和发行版本
[TOC] >[success] # UNIX发展历史和发行版本 **UNIX**跟**Linux**之间的关系,用**父子**比喻更为恰当,因为学习了**Linux**以后更有助于以后学习** ...
- ThinkPHP历史漏洞
文章目录 ThinkPHP简介 Thinkphp历史漏洞 Thinkphp 2.x 任意代码执行漏洞 漏洞描述 影响版本 漏洞复现 Thinkphp5.0.23远程代码执行漏洞(CVE-2018-20 ...
- Android NFC 标签读写Demo与历史漏洞概述
文章目录 前言 NFC基础 1.1 RFID区别 1.2 工作模式 1.3 日常应用 NFC标签 2.1 标签应用 2.2 应用实践 2.3 标签预览 2.4 前台调度 NFC开发 3.1 NDEF数 ...
- 如何选择版本控制系统之二
之前写了一篇<如何选择版本控制系统 ---为什么选择Git版本控制系统>,地址是:http://www.cnblogs.com/goldenfish/p/6876864.html,有兴趣的 ...
- 选择版本Win7系统VS2010下搭建qt开发环境
这几周一直在研究选择版本之类的问题,下午正好有机会和大家共享一下. win7下vs2010搭建qt环境总算成功了,在此分享一下. 最初选择了VS2012 + qt-windows-opensource ...
- CentOS以及Oracle数据库发展历史及各版本新功能介绍, 便于构造环境时有个对应关系...
CentOS版本历史 版本 CentOS版本号有两个部分,一个主要版本和一个次要版本,主要和次要版本号分别对应于RHEL的主要版本与更新包,CentOS采取从RHEL的源代码包来构建.例如CentOS ...
- 我的世界java版怎么选择版本_《我的世界》游戏版本太多,玩家该如何选择?听听老玩家怎么说...
文/超级游戏演说家 大家好,我是超级游戏演说家,一个美貌与智慧并存的男子.前世的千百次轮回,才换得今生的一次相遇.为了让小伙伴们更好地了解游戏中的内容,希望大家能动动小手关注一下. 本期内容 我的世界 ...
- Thinkphp历史漏洞复现
Thinkphp简介 Thinkphp 是一种开源框架.是一个由国人开发的支持 windows/Unix/Linux 等服务器环境的轻量级PHP开发框架. 很多cms(内容管理系统)就是基于 thin ...
最新文章
- Git 头指针分离与 FETCH_HEAD
- Windows Phone 7 Tip (4) -- User Agent
- R package XML安装
- 浅析网站建设与设计有哪些需要引起重视的行业规范
- python学习笔记(九)——文件和异常(重点)
- 只运行一个实例的方法
- 电脑换ip_代理ip地址怎么换
- Python 学习第三部分函数——第一章函数基础
- LeetCode 784. 字母大小写全排列(位运算回溯)
- java中字符数组和字符串的相互转换
- Android开发:Menu选项菜单
- 使超星数字图书馆的PDG文件转换为PDF文件的方法
- AD16 禁止联网操作
- 《C程序设计》读后感
- 手把手教你给女朋友编写一个公众号定时推送(java版本)
- vos网络电话系统搭建
- php利用表格敬将所选择的数据显示出来,单元格下拉筛选设置/Excel对筛选后的单元格进行下拉填充...
- 朴素贝叶斯算法实现垃圾邮件过滤(Python3实现)
- 上半年要写的博客文章21
- win10-2016企业版长期服务版激活