安全研究 – Java – Apache Dubbo


	安全研究  - Java - Apache Dubbo
[编程语言教程]

Dubbo Provider默认反序列漏洞(CVE-2020-1948)

 

Dubbo Provider有4种方式:XML配置,properties方式配置,API调用方式配置,注解方式配置

 

前置条件:  NettyServer(默认端口:12345) 端口对外开放

 

补丁

https://github.com/apache/dubbo/commit/5ad186fa874d9f0dfb87b989e54c1325d39abd40

 

CVE-2019-17564

2.7.0 <= Apache Dubbo <= 2.7.4.1

2.6.0 <= Apache Dubbo <= 2.6.7

Apache Dubbo = 2.5.x

 

当用户选择启用HTTP协议进行通信时,Apache Dubbo在接受来自攻击者发出的含有恶意代码的POST请求时将执行反序列化操作,由于缺乏安全检查,因此可能导致远程代码执行。

启用HTTP协议的相关设置 <dubbo:protocol name=”http” />

dubbo的启动需要依赖zookeeper(默认端口:2181)

 

需要制动Service路径如:

http://[IP]:[Port]/org.apache.dubbo.samples.http.api.DemoService

 

 

 

安全研究 – Java – Apache Dubbo

原文地址:https://www.cnblogs.com/AtesetEnginner/p/13452038.html

hmoban主题是根据ripro二开的主题,极致后台体验,无插件,集成会员系统
自学咖网 » 安全研究 – Java – Apache Dubbo