目录
- SpringBoot项目的漏洞修复经验
- 说明
- 本次漏洞扫描涉及到的漏洞有
- 1、Tomcat版本升级
- 2、jackson-databind版本升级
- 3、fastjson版本升级
- 4、logback版本升级
- 总结
SpringBoot项目的漏洞修复经验
说明
开发环境属于局域网环境,与外网不通
导致下载maven包时会遇到各种版本依赖问题
最好的办法就是在外网环境搭建一套一样的开发环境,这样便于更新maven包
本次漏洞扫描涉及到的漏洞有
Tomcat、jackson-datab编程客栈ind、fastjson、logback等,普遍解决方法都是通过升级版本。
1、Tomcat版本升级
(1)查看当前Tomcat版本,可以通过项目启动的日志可以看到;还有一种方法是通过idea编辑器右边导航栏中的Maven中的dependencies,查看Tomcat的版本。
(2)在父pom.XML文件中更新spring-boot-starter-parent版本,其中spring-boot-starter-parent版本对应的Tomcat版本可以在maven资源库中搜索得到https://mvnrepository.com/。
2、jackson-databind版本升级
(1)查看当前版本的jackson-databind可以通过idea编辑器右边导航栏中的Maven中的dependencies,查看jackson-databind版本。
(2)在父pom.xml中添加
<propepythonrties>
<jackson.version>${所需的jackson版本}</jackson.version>
</properties>
3、fastjson版本升级
(1)编程客栈这个升级就比较简单了,在pom.xml中找到对应的fastjson依赖,修改版本即可。
4、logback版本升级
(1)HIDS扫描的漏洞显示的是logback-classic版本有问题,故只需升级logback-class编程客栈ic版本即可。
(2)在pom.xml文件中添加内容如下:
<dependency>
<groupId>ch.qos.logback</groupId>
<artifactId>logback-classic</artifactId>
<version>${所需版本号}</version>
</dependency>
总结
以上为个人经验,希望能给大家一个参考,也希编程客栈望大家多多支持编程客栈(www.devze.com)。
加载中,请稍侯......
精彩评论