.png)
Abstract:
在 remoting-servlet.xml 文件的第 11 行,应用程序会以远程服务的形式暴露 spring bean。默认情况下,这些远程服务不要求身份验证,也不要求进出该服务器的信息必须是明文形式。这就使攻击者有机会访问需要特定权限的操作或者获取敏感数据。
Explanation:
Spring 提供了一种简单的机制,可用于将任何 Spring 托管的 bean 转换为可通过 RMI、HTTP、Burlap、Hessian 和 JMX 等协议暴露给外部的对象。远程 Spring bean 的任何公共方法都支持外部调用,而且客户端与远程对象之间传递的数据都是明文形式。这些服务存在的主要问题是,它们在默认情况下是开放的,而且本身不提供任何保密性或完整性保证。
Instance ID: 4E7FC6F04FA823055FE285DE76442C91
Priority Metadata Values:
IMPACT: 2.5
LIKELIHOOD: 2.5
Legacy Priority Metadata Values:
SEVERITY: 3.0
CONFIDENCE: 5.0
Remediation Effort: 3.0
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Recommendations:
利用 Spring Security 和 SSL 提供 authentication、授权、保密性和完整性。
Tips:
1. 确保使用 Spring Security 或某种其他机制为远程服务提供 authentication、授权、保密性和完整性。
References:
[1] Anirvan Chakraborty , Jessica Ditt , Aleksa Vukotic , Jan Machacek, ProSpring 2.5, 2008
[2] Gary Mak , Daniel Rubio , Josh Long, Spring Recipes, 2010
[3] Standards Mapping - NIST Special Publication 800-53 Revision 4, SC-8 Transmission Confidentiality and Integrity (P1)
[4] Standards Mapping - OWASP Mobile Top 10 Risks 2014, M5 Poor Authorization and Authentication
[5] Standards Mapping - OWASP Top 10 2013, A5 Security Misconfiguration
[6] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1, Requirement 6.5.1, Requirement 6.5.10
[7] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2, Requirement 6.5.4, Requirement 6.5.9
[8] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0, Requirement 6.5.4, Requirement 6.5.8
[9] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0, Requirement 6.5.4, Requirement 6.5.8
[10] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1, Requirement 6.5.4, Requirement 6.5.8
[11] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2, Requirement 6.5.4, Requirement 6.5.8
[12] Standards Mapping - Security Technical Implementation Guide Version 3.1, APP3260.1 CAT II
[13] Standards Mapping - Security Technical Implementation Guide Version 3.10, APP3260 CAT II
[14] Standards Mapping - Security Technical Implementation Guide Version 3.4, APP3260 CAT II
[15] Standards Mapping - Security Technical Implementation Guide Version 3.5, APP3260 CAT II
[16] Standards Mapping - Security Technical Implementation Guide Version 3.6, APP3260 CAT II
[17] Standards Mapping - Security Technical Implementation Guide Version 3.7, APP3260 CAT II
[18] Standards Mapping - Security Technical Implementation Guide Version 3.9, APP3260 CAT II
[19] Standards Mapping - Security Technical Implementation Guide Version 4.1, APSC-DV-000460 CAT I, APSC-DV-000470 CAT II, APSC-DV-001870 CAT II, APSC-DV-002360 CAT II
[20] Standards Mapping - Web Application Security Consortium 24 + 2, Insufficient Authorization
[21] Standards Mapping - Web Application Security Consortium Version 2.00, Insufficient Authorization (WASC-02)
- 测试必须学spring RESTful Service(上)
文末我会说说为什么测试必须学spring. REST REST,是指REpresentational State Transfer,有个精辟的解释什么是RESTful, 看url就知道要什么 看met ...
- Binder机制,从Java到C (1. IPC in Application Remote Service)
转载请标注:张小燕:http://www.cnblogs.com/zhangxinyan 1. Application 中的 service 我们知道Android中Service有三种类型:Loca ...
- RpcException:No provider available for remote service异常
出现RpcException:No provider available for remote service异常,表示没有可用的服务提供者. 解决思路: 1.检查连接的注册中心是否正确 2.到注册中 ...
- 【Spring】Service 注入失败,空指针
service层的类都有用@Service标识,但报空指针,注入失败,很可能是因为spring的application配置和springmvc的配置文件配置错误,导致容器冲突了. spring和spr ...
- 整合Spring时Service层为什么不做全局包扫描详解
合Spring时Service层为什么不做全局包扫描详解 一.Spring和SpringMVC的父子容器关系 1.讲问题之前要先明白一个关系 一般来说,我们在整合Spring和SpringMVC这两个 ...
- spring盒springMVC整合父子容器问题:整合Spring时Service层为什么不做全局包扫描详解
整合Spring时Service层为什么不做全局包扫描详解 一.Spring和SpringMVC的父子容器关系 1.讲问题之前要先明白一个关系 一般来说,我们在整合Spring和SpringMVC这两 ...
- Spring Cloud官方文档中文版-Spring Cloud Config(下)-客户端等
官方文档地址为:http://cloud.spring.io/spring-cloud-static/Dalston.SR2/#_serving_alternative_formats 文中例子我做了 ...
- spring框架篇(一)-------spring简介与配置文件使用控制反转事例
spring简介 Spring 是一个开源框架,中文意思就是春天,也许是作者想让自己的这个框架给Java开发人员带来春天吧.其官方网站是 https://spring.io/ ,可以在官方网站下载到完 ...
- Quick Guide to Microservices with Spring Boot 2.0, Eureka and Spring Cloud
https://piotrminkowski.wordpress.com/2018/04/26/quick-guide-to-microservices-with-spring-boot-2-0-eu ...
随机推荐
- 文件和目录权限chmod、更改所有者和所属组chown、umask、隐藏权限lsattr/chattr 使用介绍
第2周第3次课(3月28日) 课程内容:2.14 文件和目录权限chmod2.15 更改所有者和所属组chown2.16 umask2.17 隐藏权限lsattr/chattr 2.14 文件和目录权 ...
- 最小生成树与最短路径--C语言实现
接昨天,在这里给出图的其中一种应用:最小生成树算法(Prime算法和Kruskal算法).两种算法的区别就是:Prime算法以顶点为主线,适合用于顶点少,边密集的图结构:Kruskal算法以边为主线, ...
- CA-RNN论文读取
***CA-RNN: Using Context-Aligned Recurrent Neural Networks for Modeling Sentence Similarity(CA-RNN:使 ...
- 转:解决Eclipse中.properties文件中文乱码问题
在.properties文件写注释时,发现中文乱码了,由于之前在idea中有见设置.properties文件的编码类型,便找了找乱码原因 在中文操作系统中,Eclipse中的Java类型文件的编码的默 ...
- iOS app反编译
对于APP store 上的应用都是加密的了,反编译起来有难度. 对于自己用xcode 编译的ipa 或者是其他渠道下载的ipa包都可以使用反编译工具进行反编译. https://cnbin.gith ...
- [TimLinux] python-ldap 介绍
1. 接口 ldap: LDAP库接口 ldap.asyncsearch: 大量搜索结果数据采用流处理 ldap.controls: LDAPv3上层访问扩展控制 ldap.dn: LDAP dist ...
- dockerfile 最佳实践及示例
Dockerfile 最佳实践已经出现在官方文档中,地址在 Best practices for writing Dockerfiles.如果再写一份最佳实践,倒有点关公门前耍大刀之意.因此本篇文章是 ...
- SPOJ- Distinct Substrings(后缀数组&后缀自动机)
Given a string, we need to find the total number of its distinct substrings. Input T- number of test ...
- UVa-10652 包装木板
Input: standard inputOutput: standard output Time Limit: 2 seconds The small sawmill in Mission, Bri ...
- nmap扫描进阶、msfconsole攻击入门(网安全实训第二天)
本期内容:nmap扫描.msfconsole攻击入门 1. nmap扫描进阶 2.msfconsole攻击入门 1.nmap扫描进阶 (1)nmap命令 nmap --sP -iL abin.txt ...
.png)
