shiro反序列化漏洞可以獲取作業系統使用者許可權,危害頗大。公司存在一些老舊系統,發現存在shiro漏洞,怎麼最小成本修復,又不影響系統執行呢!
在shiro程式前面加上一層**openresty, 配合lua指令碼,過濾rememberme cookie,凡是在黑名單的都無法訪問返回403
lua指令碼shiro-remember.lua
local ngx_req = ngx.req
local strfind = string.find
local a = ngx_req.get_headers()
local cookie = a.cookie
if cookie then
if strfind(cookie, "rememberme") then
ngx.exit(403)
endend
nginx.conf新增配置
access_by_lua_file lua/shiro-remember.lua;
mysql 漏洞修復 mysql漏洞修復
lnmp目錄執行 upgrade.sh mysql 需要輸入mysql root密碼進行驗證,驗證不通過將無法進行公升級,驗證通過後可以到 獲取mysql的版本號,輸入後回車確認,如要啟用innodb,輸入y,回車確認,再次回車確認即可開始公升級。會在 root 目錄下生成mysql upgrade...
ZipperDown漏洞修復
zipperdown漏洞是由盤古實驗室發現的,該漏洞是盤古團隊針對不同客戶的ios應用安全審計的過程中發現的,大約有10 的ios應用會受到此漏洞的影響。類似解壓等通用功能的漏洞,乙個平台爆出了漏洞,其他平台往往也受到牽連,不久前android平台上的unzip解壓檔案漏洞,和這個漏洞幾乎是完全一樣...
linux漏洞修復
rhsa 2018 3059 低危 x.org x11 安全和bug修復更新 yum update libxfont libdrm libxcb xorg x11 font utils xorg x11 utils libx11 libx11 common mesa libgbm mesa libg...