Spring Boot是由Pivotal团队提供的全新的开源框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。通过这种方式,Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。
现在很多研发团队开始转向采用该框架,但是这个框架经过使用北大软件的CoBOT进行分析,发现里面还是隐藏着很多缺陷和安全漏洞。我选择了几个比较典型的,容易理解的缺陷进行简单分析。
1、创建问题权限问题
上述存在的问题所属的缺陷属于没有使用合适的访问权限创建文件。缺陷发生位置:
在RepackagerTests.java中jarThatUsesCustomCompressionConfigurationCanBeRepackaged函数的第646行。在(RepackagerTests.java)文件第(646)行调用方法[new FileOutputStream(source)]创建文件,没有指定访问权限,攻击者可能会在程序修改权限之前读取或修改文件。必须使用访问
最后
以上就是哭泣豆芽最近收集整理的关于此模块的调试信息中缺少源信息_SpringBoot中的潜在漏洞分析的全部内容,更多相关此模块内容请搜索靠谱客的其他文章。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复