敬请期待| 留言反馈 欢迎访问007网址导航
广告
当前位置:网站首页 > 站长杂谈 > 正文

CVE-2019-0193 apache 漏洞利用与安全防护方案

007导航 2019-08-12 48 浏览 0 评论

网站seo优化全攻略分析 建议收藏

目前网上虽然有很多SEO教程,但是大多都是写的一些太基础的教程,一点干货都没有!对于刚入行的小白来说,可以帮助了解一下什么是SEO,但是在以后的实战当中起不到太大的作用!所以顶级站长研究中心写下这篇seo全攻略来帮助一些新手站长捋清重点,主要从下面几点开始入手!

 

apache最近爆出的漏洞越来越多,旗下的solr产品存在远程服务器执行恶意代码漏洞,该漏洞产生的主要原因是因为apache dataimporthandler数据外部收集的一个端口模块,该模块支持从远程的地址进行通信,并多数据进行收集,正因为开放了远程地址,可导致攻击者构造恶意的代码对DIH进行脚本注入,从而让后端服务器对恶意代码进行了执行,该漏洞可导致服务器被攻击,被入侵,关于该漏洞的详情我们SINE安全技术深入的带大家来分析:

apache这个漏洞影响范围较广低于solr 8.2.0版本的都会受到漏洞的影响与攻击,本身这个solr模块就支持从远程的地址进行数据的收集与导入功能,当用户对dataimport进行使用的时候首先会调用handleRequestBody类,并将请求的模块进行重新配置,默认代码会对params.getDataConfig()参数里post值进行判断,当值为空就不会加载dataconfig里的配置,截图如下:

CVE-2019-0193 apache 漏洞利用与安全防护方案 站长杂谈 第1张

紧接着加载配置,对post值的相关参数进行赋值,像,datasoure,document等变量进行赋值,post里的自定义的参数会自动存入变量中,然后返回数据并保存,进行导入数据。

CVE-2019-0193 apache 漏洞利用与安全防护方案 站长杂谈 第2张

漏洞的产生就在这个里,攻击者构造恶意的代码在里,当dofulldump对齐解析并正则式的进行值转换,导致恶意代码被执行,这个可以写入很多java的类,apache并没有对内容进行安全过滤与限制,导致可以注入任意的恶意代码,使其服务器进行执行。我们构造了一个执行计算器的POC,我们截图看下利用的效果:

CVE-2019-0193 apache 漏洞利用与安全防护方案 站长杂谈 第3张

那么该如何修复apache漏洞呢?

首先请各位网站,服务器的运维人员对当前的apache solr版本继续查看,登录solr的控制面板,可以查看到当前的版本,如果低于8.2.0,说明存在漏洞,将solr的版本升级到最新版本,也可以对apache配置文件进行修改,文件名是solrconfig.xml,配置文件里的datainport值都注释掉,关闭这个数据收集功能,有些网站,APP可能会使用到这个功能,在关闭后请检查网站的正常功能,是否收到影响,没有影响就关闭即可,关于该漏洞的修复与安全加固就到这里,愿我们的分享,能够帮助到更多使用apache solr的公司。

广告

相关推荐

12条网站推广内链优化方法

seo优化想要长期稳定,要注意以下几点相信长期稳定一定是每个从事seo优化朋友的心声。现如今,搜索引擎算法不断更新、网站内容大量采集以及一些人使用快排技术,导致seo优化排名非常不稳定,也让大量的正规...

seo优化想要长期稳定,要注意以下几点

12条网站推广内链优化方法“内链为王”,这句话放在现在的网站推广依旧不过时。网站内链的优化一直是网络推广工作者的重头戏,内链优化的好坏很大程度决定了网站推广的优劣,我们为大家整理了12条网站推广内链优...

简单粗暴,告诉你最实用的网站优化方法

seo优化想要长期稳定,要注意以下几点相信长期稳定一定是每个从事seo优化朋友的心声。现如今,搜索引擎算法不断更新、网站内容大量采集以及一些人使用快排技术,导致seo优化排名非常不稳定,也让大量的正规...

网站优化,如何撰写标题,有利于提高用户转化率?

简单粗暴,告诉你最实用的网站优化方法现在很多企业都开始做seo优化,尤其是新视点的网站客户,都对网站如何优化很感兴趣。毕竟,相较于付费推广,优化的性价比更高一些,而且效果也不错。但是,网上的seo教程...

网站在排名不稳定的时候应该如何进行优化

网站优化,如何撰写标题,有利于提高用户转化率?对于网站而言,标题有的时候就像一个店铺的招牌,标题的新颖程度、相关性、对用户潜在的点击欲望起到了积极的作用,因此,如何撰写一个好的标题,显得格外重要。 ...

教你如何选择靠谱的SEO外包公司

百度飓风算法3.0算法官方解读前阵子,百度上线了飓风算法3.0,说是主要针对站群和采集站问题,但是没有具体透露会针对那些内容,很多站长都不知道如何下手去对网站进行整改,为了帮助站长更好的理解飓风算法3...

百度飓风算法3.0算法官方解读

如何修复网站漏洞全局变量覆盖漏洞的修复方式临近9月底,seacms官方升级海洋cms系统到9.95版本,我们SINE安全在对其源码进行网站漏洞检测的时候发现问题,可导致全局变量被覆盖,后台可以存在越...

如何修复网站漏洞 全局变量覆盖漏洞的修复方式
  • 如何修复网站漏洞 全局变量覆盖漏洞的修复方式
  • 如何修复网站漏洞 全局变量覆盖漏洞的修复方式
  • 如何修复网站漏洞 全局变量覆盖漏洞的修复方式
  • 如何修复网站漏洞 全局变量覆盖漏洞的修复方式
2019年 SEO关键词KPI考核指标有哪些?

如何修复网站漏洞全局变量覆盖漏洞的修复方式临近9月底,seacms官方升级海洋cms系统到9.95版本,我们SINE安全在对其源码进行网站漏洞检测的时候发现问题,可导致全局变量被覆盖,后台可以存在越...

seo中H1标签优化技巧

2019年SEO关键词KPI考核指标有哪些?在SEO日常工作中,对于企业团队而言,我们经常会涉及SEO人员的考核制度,它是推动SEO项目顺利完成的一个基石,同时,也是提高团队工作效率的一个重要法宝。...

欢迎 发表评论:

分享:

支付宝

微信