敬请期待| 留言反馈 欢迎访问007网址导航
广告
当前位置:网站首页 > 站长杂谈 > 正文

CVE-2019-0193 apache 漏洞利用与安全防护方案

007导航 2019-08-12 14 浏览 0 评论

网站seo优化全攻略分析 建议收藏

目前网上虽然有很多SEO教程,但是大多都是写的一些太基础的教程,一点干货都没有!对于刚入行的小白来说,可以帮助了解一下什么是SEO,但是在以后的实战当中起不到太大的作用!所以顶级站长研究中心写下这篇seo全攻略来帮助一些新手站长捋清重点,主要从下面几点开始入手!

 

apache最近爆出的漏洞越来越多,旗下的solr产品存在远程服务器执行恶意代码漏洞,该漏洞产生的主要原因是因为apache dataimporthandler数据外部收集的一个端口模块,该模块支持从远程的地址进行通信,并多数据进行收集,正因为开放了远程地址,可导致攻击者构造恶意的代码对DIH进行脚本注入,从而让后端服务器对恶意代码进行了执行,该漏洞可导致服务器被攻击,被入侵,关于该漏洞的详情我们SINE安全技术深入的带大家来分析:

apache这个漏洞影响范围较广低于solr 8.2.0版本的都会受到漏洞的影响与攻击,本身这个solr模块就支持从远程的地址进行数据的收集与导入功能,当用户对dataimport进行使用的时候首先会调用handleRequestBody类,并将请求的模块进行重新配置,默认代码会对params.getDataConfig()参数里post值进行判断,当值为空就不会加载dataconfig里的配置,截图如下:

CVE-2019-0193 apache 漏洞利用与安全防护方案 站长杂谈 第1张

紧接着加载配置,对post值的相关参数进行赋值,像,datasoure,document等变量进行赋值,post里的自定义的参数会自动存入变量中,然后返回数据并保存,进行导入数据。

CVE-2019-0193 apache 漏洞利用与安全防护方案 站长杂谈 第2张

漏洞的产生就在这个里,攻击者构造恶意的代码在里,当dofulldump对齐解析并正则式的进行值转换,导致恶意代码被执行,这个可以写入很多java的类,apache并没有对内容进行安全过滤与限制,导致可以注入任意的恶意代码,使其服务器进行执行。我们构造了一个执行计算器的POC,我们截图看下利用的效果:

CVE-2019-0193 apache 漏洞利用与安全防护方案 站长杂谈 第3张

那么该如何修复apache漏洞呢?

首先请各位网站,服务器的运维人员对当前的apache solr版本继续查看,登录solr的控制面板,可以查看到当前的版本,如果低于8.2.0,说明存在漏洞,将solr的版本升级到最新版本,也可以对apache配置文件进行修改,文件名是solrconfig.xml,配置文件里的datainport值都注释掉,关闭这个数据收集功能,有些网站,APP可能会使用到这个功能,在关闭后请检查网站的正常功能,是否收到影响,没有影响就关闭即可,关于该漏洞的修复与安全加固就到这里,愿我们的分享,能够帮助到更多使用apache solr的公司。

广告

相关推荐

百度霸屏之百度贴吧引流
百度霸屏之百度贴吧引流

80后“老兵”再做宠物网站心得:兴趣建站不忘初心正在求学的00后们,你们准备做一名新站长么?互联网需要你们这些新血液、新力量。希望这个80后“老兵”的文章能帮...

19小时前 007导航

80后“老兵”再做宠物网站心得:兴趣建站 不忘初心

百度霸屏之百度贴吧引流心态一坚持就是胜利,不要期望做一天一周马上有效果,要坚持一个月,但如果你文章的标题跟内容设置好,也有可能一周就有效果,不要期望你就百度发四五篇文章就能引流来人,当然,如果你文章质...

如何给网站做外链?
如何给网站做外链?

80后“老兵”再做宠物网站心得:兴趣建站不忘初心正在求学的00后们,你们准备做一名新站长么?互联网需要你们这些新血液、新力量。希望这个80后“老兵”的文章能帮...

19小时前 007导航

高质量外链建设方案,快速提高网站权重
高质量外链建设方案,快速提高网站权重

如何给网站做外链?如何给网站做外链?如何给网站做外链?对于seo而言给网站做外部链接一点也不陌生,外链建设是网站优化的重要环节,做外链质量的高低直接影响着最终的...

19小时前 007导航

网站建设图片侵权遇到的问题有哪些?

案例分享:网站自动化赚钱实操流程在站长圈子混久了,就能看到很多奇葩不为人知的赚钱案例。有很多小网站,看着非常不起眼,但是却一直在自动化赚钱,今天给大家分享几个案例。介绍个案之前,便于大家理解,先给大家...

案例分享:网站自动化赚钱实操流程
  • 案例分享:网站自动化赚钱实操流程
  • 案例分享:网站自动化赚钱实操流程
  • 案例分享:网站自动化赚钱实操流程
  • 案例分享:网站自动化赚钱实操流程
网站建设教程:PageAdmin网站系统标签功能的实现
网站建设教程:PageAdmin网站系统标签功能的实现

APP渗透测试如何对APP安全进行全方位的安全检测近几年移动互联网的快速发展,APP应用,网站也越来越多,受到的攻击成几何的增长,有很多客户找到我们SINE安...

2天前 007导航

APP渗透测试 如何对APP安全进行全方位的安全检测

网站建设教程:PageAdmin网站系统标签功能的实现公司之前老网站采用的织梦网站系统,由于最近被黑客攻击导致挂马,并且官方停止了更新,领导要求新的网站采用pageadmin网站系统重新改版,小编在学...

首页再扣费?揭秘七天排名的黑心骗局
  • 首页再扣费?揭秘七天排名的黑心骗局
  • 首页再扣费?揭秘七天排名的黑心骗局
  • 首页再扣费?揭秘七天排名的黑心骗局
  • 首页再扣费?揭秘七天排名的黑心骗局
网站外链建设时质量高低如何判断?
网站外链建设时质量高低如何判断?

首页再扣费?揭秘七天排名的黑心骗局忘记从哪年开始,在网站这个行业就有了“七天排名”前“50、100七天上首页”这样的快速排名业务。一开始的时候,各SEO都对此做...

2天前 007导航

欢迎 发表评论:

分享:

支付宝

微信